memory: add lesson on warp.egw OOM/nft stale-rules deadlock

.claude/memory/lesson_warp_oom_nft_deadlock.md

+---
+name: WARP CT 703 OOM ↔ nft deadlock
+description: warp-svc OOM SIGKILL оставляет защитную nft таблицу cloudflare-warp с output drop, после рестарта клиент не может выйти к Cloudflare через свои же правила
+type: reference
+originSessionId: 81ac66de-af1f-4f27-9c31-301f5806f8c5
+---
+# warp.egw (CT 703 на border, IP .134)
+
+- Лимит памяти выставлен **1024/1024** MB (был 512/512 — утечка warp-svc приводила к OOM раз в 1-2 недели).
+- В `/etc/systemd/system/warp-svc.service.d/cleanup-stale-nft.conf` — `ExecStartPre=-/usr/sbin/nft delete table inet cloudflare-warp`. Снимает stale ruleset перед стартом, разрывает курицу-яйцо после OOM SIGKILL.
+- `systemctl stop warp-svc` (clean) сам корректно удаляет таблицу. Только SIGKILL (OOM, kill -9) — нет.
+- При проблемах "warp не пингуется снаружи / Failed to perform happy eyeballs": `nft list table inet cloudflare-warp` — если таблица есть, а интерфейса CloudflareWARP в `ip a` нет → stale ruleset. Лечится `systemctl restart warp-svc` (drop-in отработает).
+- Маршрут до Cloudflare endpoint (`162.159.198.2`) идёт **через 91.232.225.124 (gre.beget, CT 683 на border)**. Если warp не работает — сначала проверь жив ли gre.beget.
+- Доступ: `ssh root@border` → `unset ENV BASH_ENV; pct exec 703 -- bash -c '...'` (без unset падает на `Insecure $ENV{ENV}` perl tainted).