[9.195][ANSWERED] Snort Problem

Hi,

as far as I know this should be warning ony rules.

Can you please disable extra warnings for the Group Protocol Anamoly and the subgroup and check again?

Best,
Kofi

The update to  9.195-6  caused some major problems. Websites like cnn.com, google.com, and other became inaccessible and some devices could no longer connect to the network when trying to do so behind the box running the beta.

The problem turned out to be Intrusion Prevention,  turning it off fixes things.
The Intrusion Prevention logs shows lots and lots of  "BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" (19187) alerts as well as some
"PROTOCOL-ICMP unassigned type 1"  (458)

Yes...but the 19187 is a alert only and never affected my UTM / traffic But I had hundreds of those alerts per day since months, so I disabled that rule a while ago. I got it mostly from the dns answers from the utm dns proxy (srcport 53) to my SUM in the DMZ (changing high ports).

Sorry for short answers and typos. was written on mobile using astaro.org app.

You are right. In fact the problem is back today with the IPS off so it was just happenstance that it began working right after.  The problem is worse with the IPS on. 

I thought maybe it was the webproxy.  So I opened web surfing ports and turned off  the webproxy and it helped a little.

So maybe it is a resources thing. The web panel shows no problems, 12% CPU Usage, 15% Ram, 11% of log disk, 16% of data disk. I would call that light usage. 

The system has an Intel® Core™2 Quad, 80Gb Intel Solid state HDD, two PCI Express Network interface cards, and 8GB of high quality RAM.