]> git.ipfire.org Git - thirdparty/rspamd.git/commit
projects / thirdparty / rspamd.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 2cca4a4) | patch
[Fix] functional: move test server ports below the ephemeral range 6071/head
authorVsevolod Stakhov <vsevolod@rspamd.com>
Mon, 1 Jun 2026 18:00:42 +0000 (19:00 +0100)
committerVsevolod Stakhov <vsevolod@rspamd.com>
Mon, 1 Jun 2026 18:00:42 +0000 (19:00 +0100)
commitec8a6fdfba650b19143bd4643ebe73167b3e17de
tree994e1d66bdb8ac47b89c6aef899ffc579074140btree | snapshot
parent2cca4a4c013c22cf915f98a7841531294c88409ecommit | diff
[Fix] functional: move test server ports below the ephemeral range

The real root cause of the 440_ssl_server flake (and the family of
intermittent "bind 98 / Address already in use" failures): the test
server ports sat INSIDE Linux's default ephemeral range
(net.ipv4.ip_local_port_range = 32768..60999). Bases were 56379 (redis),
56380 (nginx) and 567xx (rspamd normal/controller/proxy/fuzzy + the two
TLS listeners), all squarely in that window.

So any outbound client socket in the test environment -- a redis client,
monitored URIBL DNS lookups, an upstream connection, a dummy-helper
connection -- could be handed one of those numbers by the kernel as its
EPHEMERAL SOURCE PORT on connect(). When rspamd later tried to bind() a
LISTENER on that exact port it got EADDRINUSE. rspamd sets SO_REUSEADDR,
which does nothing against a live socket already bound by another
process. The controller's SSL socket is the LAST of its five ports to
bind -- by then the controller has already opened many client sockets --
so it lost this race most often and surfaced as "SSL controller never
came up" -> HTTPS connection-refused for the whole retry budget. It was
probabilistic (depends which ephemeral ports were in use at bind time),
hence flaky and distro-dependent.

Move the whole rspamd/redis/nginx block down by 31000 (e.g. normal
56789 -> 25789, controller-SSL 56796 -> 25796, redis 56379 -> 25379,
nginx 56380 -> 25380). This preserves every relative offset, so the
carefully spaced, collision-free per-worker layout (base + slot*100) is
unchanged: across 64 worker slots the dummy_* helpers stay <= 24383,
this block spans 25379..32097, and the ephemeral floor 32768 is never
reached. Verified by importing vars.py for slots 0 and 63 (max port
32097 < 32768, zero cross-family collisions) and a serial 001_merged run
(all six 440_ssl_server tests pass on the relocated ports).

Also bump the two cosmetic fallbacks that mirrored the old bases:
test_redis_client.lua's getenv default and a port_is_free docstring.
test/functional/lib/rspamd.py diff | blob | blame | history
test/functional/lib/vars.py diff | blob | blame | history
test/functional/lua/rspamadm/test_redis_client.lua diff | blob | blame | history
Mirror of https://github.com/rspamd/rspamd.git