<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 16, 2015 at 10:44 AM, Daniel Tryba <span dir="ltr"><<a href="mailto:d.tryba@pocos.nl" target="_blank">d.tryba@pocos.nl</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":1ws" class="a3s" style="overflow:hidden">You should look at the OS level, the error is from the kernel.<br></div></blockquote><div><br></div><div>I know, but dmesg, syslog or kernel log don't say anything.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":1ws" class="a3s" style="overflow:hidden">

Are you runing out of sockets/files? It the connection tracker full?<br></div></blockquote><div><br></div><div>The connection tracking table is monitored and never close to full. How could I check the sockets/files?<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":1ws" class="a3s" style="overflow:hidden">

BTW you accept related and new state, this makes no sense, you could just as<br>
well have no rules for the OUTPUT chain (which is much better for perfomance).</div></blockquote></div><br></div><div class="gmail_extra">I know. My old hand-written firewall was much smaller and almost stateless. But according to our administrators policy all firewalls should be generated by FWbuilder, which generates pretty ugly rules, and also implicitly injects the related rule. (I'm not really happy with that.)<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Sebastian<br></div></div>