Yes, but neither gre nor ppp (at least during these last tests, when I first open this threat suricata was in another place where there was gre) Here there are ip in ip tunnels.  <div>Remember also that packets that I don't get stuck packets when I run only one queue. <br>
<br><div class="gmail_quote">> As the message is not systematic, it may be tcp stream related.</div><div class="gmail_quote"><br></div><div class="gmail_quote">I did not understand  the message is not systematic part. Could you explain it a little please?</div>
<div class="gmail_quote"><br></div><div class="gmail_quote">Also, the message logged says some packets are being dropped</div><div class="gmail_quote">>> (TmqhOutputPacketpool) -- Packet 0x3e54f20 has been outed without verdict, dropping it</div>
<div class="gmail_quote"><br></div><div class="gmail_quote">I checked the code, and I couldn't find any part where a packet gets dropped. </div><div class="gmail_quote"><br></div><div class="gmail_quote">2011/8/18 Eric Leblond <span dir="ltr"><<a href="mailto:eric@regit.org">eric@regit.org</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Hi,<br>
<div class="im"><br>
On Thu, 2011-08-18 at 13:07 -0500, Fernando Ortiz wrote:<br>
> These are some of the thousand warnings.<br>
><br>
><br>
> [27240] 18/8/2011 -- 12:57:22 - (tmqh-packetpool.c:165) <Info><br>
> (TmqhOutputPacketpool) -- Packet 0x3dc33e0 has been outed without<br>
> verdict, dropping it<br>
<br>
</div>Are you using something like gre or ppp tunel through the box ?<br>
<br>
The message appears in the tunnel related code. I've introduced it in<br>
the latest patch 'IPS: be sure to destroy packet when cleaning'. I don't<br>
know well this part of the code. Suricata is using internally a<br>
"pseudopacket" in two cases, tunnel or tcp stream reassembly in inline<br>
mode. As the message is not systematic, it may be tcp stream related.<br>
<br>
BR,<br>
<div><div></div><div class="h5"><br>
> [27240] 18/8/2011 -- 12:57:22 - (source-nfq.c:932) <Warning><br>
> (NFQSetVerdictRescue) -- [ERRCODE: UNKNOWN_ERROR(77)] - trying to<br>
> issue verdict on 302469<br>
> [27228] 18/8/2011 -- 12:57:22 - (source-nfq.c:701) <Warning><br>
> (NFQRecvPkt) -- [ERRCODE: UNKNOWN_ERROR(76)] - nfq_handle_packet error<br>
> -1: 0:Success<br>
> [27240] 18/8/2011 -- 12:57:22 - (tmqh-packetpool.c:165) <Info><br>
> (TmqhOutputPacketpool) -- Packet 0x3e54f20 has been outed without<br>
> verdict, dropping it<br>
> [27240] 18/8/2011 -- 12:57:22 - (source-nfq.c:932) <Warning><br>
> (NFQSetVerdictRescue) -- [ERRCODE: UNKNOWN_ERROR(77)] - trying to<br>
> issue verdict on 302485<br>
> [27227] 18/8/2011 -- 12:57:22 - (source-nfq.c:701) <Warning><br>
> (NFQRecvPkt) -- [ERRCODE: UNKNOWN_ERROR(76)] - nfq_handle_packet error<br>
> -1: 0:Success<br>
> [27240] 18/8/2011 -- 12:57:23 - (tmqh-packetpool.c:165) <Info><br>
> (TmqhOutputPacketpool) -- Packet 0x2e223c0 has been outed without<br>
> verdict, dropping it<br>
> [27240] 18/8/2011 -- 12:57:23 - (source-nfq.c:932) <Warning><br>
> (NFQSetVerdictRescue) -- [ERRCODE: UNKNOWN_ERROR(77)] - trying to<br>
> issue verdict on 304279<br>
> [27228] 18/8/2011 -- 12:57:23 - (source-nfq.c:701) <Warning><br>
> (NFQRecvPkt) -- [ERRCODE: UNKNOWN_ERROR(76)] - nfq_handle_packet error<br>
> -1: 0:Success<br>
> [27240] 18/8/2011 -- 12:57:23 - (tmqh-packetpool.c:165) <Info><br>
> (TmqhOutputPacketpool) -- Packet 0x37a94e0 has been outed without<br>
> verdict, dropping it<br>
> [27240] 18/8/2011 -- 12:57:23 - (source-nfq.c:932) <Warning><br>
> (NFQSetVerdictRescue) -- [ERRCODE: UNKNOWN_ERROR(77)] - trying to<br>
> issue verdict on 304696<br>
> [27228] 18/8/2011 -- 12:57:23 - (source-nfq.c:701) <Warning><br>
> (NFQRecvPkt) -- [ERRCODE: UNKNOWN_ERROR(76)] - nfq_handle_packet error<br>
> -1: 0:Success<br>
> [27240] 18/8/2011 -- 12:57:23 - (tmqh-packetpool.c:165) <Info><br>
> (TmqhOutputPacketpool) -- Packet 0x37c09e0 has been outed without<br>
> verdict, dropping it<br>
> [27240] 18/8/2011 -- 12:57:23 - (source-nfq.c:932) <Warning><br>
> (NFQSetVerdictRescue) -- [ERRCODE: UNKNOWN_ERROR(77)] - trying to<br>
> issue verdict on 304699<br>
> [27228] 18/8/2011 -- 12:57:23 - (source-nfq.c:701) <Warning><br>
> (NFQRecvPkt) -- [ERRCODE: UNKNOWN_ERROR(76)] - nfq_handle_packet error<br>
> -1: 0:Success<br>
> [27240] 18/8/2011 -- 12:57:23 - (tmqh-packetpool.c:165) <Info><br>
> (TmqhOutputPacketpool) -- Packet 0x3f2f800 has been outed without<br>
> verdict, dropping it<br>
> [27240] 18/8/2011 -- 12:57:23 - (source-nfq.c:932) <Warning><br>
> (NFQSetVerdictRescue) -- [ERRCODE: UNKNOWN_ERROR(77)] - trying to<br>
> issue verdict on 305025<br>
> [27228] 18/8/2011 -- 12:57:23 - (source-nfq.c:701) <Warning><br>
> (NFQRecvPkt) -- [ERRCODE: UNKNOWN_ERROR(76)] - nfq_handle_packet error<br>
> -1: 0:Success<br>
><br>
><br>
> Hope it helps.<br>
><br>
> 2011/8/18 Fernando Ortiz <<a href="mailto:fernando.ortiz.f@gmail.com">fernando.ortiz.f@gmail.com</a>><br>
>         Sure, I will test that patch right now. I have on question.<br>
>         The warning says it is dropping packets.<br>
><br>
>         (TmqhOutputPacketpool) -- Packet 0x4baa760 has been outed<br>
>         without verdict, dropping it<br>
><br>
><br>
>         There are a lot of this messages. I am a little worried about<br>
>         too many drops although nobody has complaint in the network.<br>
>         Why exactly are these drops about?<br>
><br>
><br>
><br>
><br>
>         2011/8/18 Eric Leblond <<a href="mailto:eric@regit.org">eric@regit.org</a>><br>
><br>
>                 Hi,<br>
><br>
>                 On Thu, 2011-08-18 at 12:22 -0500, Fernando Ortiz<br>
>                 wrote:<br>
>                 > All right. Now it is compiled and running.<br>
>                 ><br>
>                 ><br>
>                 > Got several of these messages<br>
>                 ><br>
>                 ><br>
>                 > [19643] 18/8/2011 -- 12:07:11 -<br>
>                 (tmqh-packetpool.c:165) <Info><br>
>                 > (TmqhOutputPacketpool) -- Packet 0x4baa760 has been<br>
>                 outed without<br>
>                 > verdict, dropping it<br>
>                 > [19643] 18/8/2011 -- 12:07:11 - (source-nfq.c:929)<br>
>                 <Warning><br>
>                 > (NFQSetVerdictRescue) -- [ERRCODE:<br>
>                 UNKNOWN_ERROR(77)] - trying to<br>
>                 > issue verdict on 55786<br>
>                 > [19631] 18/8/2011 -- 12:07:11 - (source-nfq.c:698)<br>
>                 <Warning><br>
>                 > (NFQRecvPkt) -- [ERRCODE: UNKNOWN_ERROR(76)] -<br>
>                 nfq_handle_packet error<br>
>                 > -1<br>
><br>
><br>
>                 Ouah sexy ! nfq_handle_packet is returning in error<br>
>                 but the callback<br>
>                 function has not crashed (no message from her).<br>
><br>
>                 Could you try with the atached patch ? It could help<br>
>                 to see what's going<br>
>                 on.<br>
><br>
>                 BR<br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
> --<br>
> Fernando Ortiz<br>
> Twitter: <a href="http://twitter.com/FernandOrtizF" target="_blank">http://twitter.com/FernandOrtizF</a><br>
><br>
<br>
</div></div><div><div></div><div class="h5">--<br>
Eric Leblond<br>
Blog: <a href="http://home.regit.org/" target="_blank">http://home.regit.org/</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Fernando Ortiz <br>Twitter: <a href="http://twitter.com/FernandOrtizF">http://twitter.com/FernandOrtizF</a><br> <br>
</div>