Bug 32776 - С ядром 4.4 сломались счётчики у ipset
Summary: С ядром 4.4 сломались счётчики у ipset
Status: CLOSED WORKSFORME
Alias: None
Product: Sisyphus
Classification: Development
Component: kernel-image-std-def (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Vitaly Chikunov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2016-11-21 14:10 MSK by Sergey Y. Afonin
Modified: 2017-05-31 09:10 MSK (History)
4 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Sergey Y. Afonin 2016-11-21 14:10:48 MSK 
Если сделать сет с counters, то счётчики работают странно (проверено с 4.4.32-std-def-alt0.M80P.1):

# ipset -N SET_TEST hash:ip counters
# iptables -I OUTPUT -m set --match-set SET_TEST dst -j RETURN
# ipset -A SET_TEST 10.1.1.1
# ping -c1 10.1.1.1
# ipset -L SET_TEST|grep 10.1.1.1
10.1.1.1 packets 72057594037927936 bytes 6052837899185946624

С 4.1.21-std-def-alt1 работает нормально. 

https://lists.altlinux.org/pipermail/sysadmins/2016-November/037652.html
Comment 1 Sergey Y. Afonin 2016-11-21 17:16:01 MSK 
https://bugzilla.kernel.org/show_bug.cgi?id=188261
Comment 2 Anton Farygin 2016-11-21 17:22:28 MSK 
ipset-6.30 соберу буквально завтра (может быть сегодня успею). попробуйте на нём.

Кстати, а счётчики плохо работают только с hash:ip ? у меня есть hash:net с conters - считает вроде как нормально.

Какая версия ipset ? rpm -q ipset
Comment 3 Sergey Y. Afonin 2016-11-21 17:42:45 MSK 
hash:net пробовал тоже, без разницы. ipset-6.29-alt2.git.caaa86 (из p8).
Comment 4 Anton Farygin 2016-11-21 18:11:07 MSK 
А архитектура какая ? i586 или x86_64 ?
Comment 5 Sergey Y. Afonin 2016-11-21 18:33:28 MSK 
обе, сейчас на i586 тоже проверил c 4.4.32-std-def-alt0.M80P.1. На x86_64 ещё смотрел с 4.8.8-un-def, то же самое.

Вообще странно, если не воспроизводится.
Comment 6 Anton Farygin 2016-11-21 20:19:13 MSK 
там ядро старое.4.4.13-std-def-alt1

[root@salto ~]# ipset -N SET_TEST hash:net counters
[root@salto ~]# iptables -I OUTPUT -m set --match-set SET_TEST dst -j RETURN
[root@salto ~]# ipset -A SET_TEST 10.1.1.1
[root@salto ~]# ping -c1 10.1.1.1
PING 10.1.1.1 (10.1.1.1) 56(84) bytes of data.
From 10.12.0.2 icmp_seq=1 Destination Host Unreachable

--- 10.1.1.1 ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms

[root@salto ~]# ipset -L SET_TEST|grep 10.1.1.1
10.1.1.1 packets 1 bytes 84
Comment 7 Sergey Y. Afonin 2016-11-21 22:59:50 MSK 
(In reply to comment #6)

> там ядро старое.4.4.13-std-def-alt1

Да. Нашёл, где стоит 4.4.11-std-def-alt0.M80P.1. Тоже работает правильно.
Comment 8 Anton Farygin 2016-11-24 16:21:08 MSK 
ipset-6.30 отправил в Sisyphus, но в нём эту проблему не починили.
Comment 9 Anton Farygin 2016-12-12 15:11:29 MSK 
апстрим молчит ?
Comment 10 Sergey Y. Afonin 2016-12-13 01:38:21 MSK 
(In reply to comment #9)

> апстрим молчит ?

Да, молчит. Кстати, сломалось в 4.4.19-alt0.M80P.1. В 4.4.18 ещё работало. Надо бы в баге на kernel.org дописать...
Comment 11 Anton Farygin 2016-12-13 06:43:01 MSK 
Если есть время - попробуйте пообщаться с автором ipset на IRC канале netfilter.
Comment 12 Sergey Y. Afonin 2017-05-29 11:52:15 MSK 
> Если есть время - попробуйте пообщаться с автором ipset на IRC канале
> netfilter.

Что-то руки не дошли. Но сейчас попробовал пару 4.9.30-std-def-alt1/ipset-6.32-alt1.S1, счётчики работают нормально. Так что для Сизифа починилось. Вопрос теперь, проблема в ядре была, или в ipset. Наверное, надо ipset в p8 обновить для начала.
Comment 13 Sergey Y. Afonin 2017-05-29 11:57:15 MSK 
Кстати, у ядра 4.4.18 модуль ipset был 6.26. Может, проблема с ipset 6.29 возникла, а не с обновлением ядра...
Comment 14 Sergey Y. Afonin 2017-05-30 10:03:08 MSK 
(In reply to comment #13)

> Может, проблема с ipset 6.29 возникла, а не с обновлением ядра...

Похоже, так оно и есть. Так что не ядро было виновато:
https://bugzilla.altlinux.org/33510#c1