HIgh loads on Astaro

William,
are you using any of the p2p monitoring/helpers? I have a feeling, but I can't prove it that they go a little wild every so often. My ASG runs with some sort of load (above normal) for a couple of days, then 90-100% cpu and talks to nothing and nothing is logged.

Makes it very hard to report problems in this forum and ask for help.

Ian M

I have exactly the same problem with pfilter-reporte which is chewing the 80%-99% of my CPU capacity. I have disabled P2P rules but no improvement.

But why is my skype-login or skype-call a portscan??? And why is the asg-load rising so high when this 'portscan' is being detected?

top - 20:17:02 up 6 days, 5 min,  1 user,  load average: 4.02, 1.87, 0.71

Tasks:  92 total,   1 running,  90 sleeping,   0 stopped,   1 zombie

Cpu(s): 74.5%us,  9.8%sy,  0.0%ni,  0.0%id, 15.7%wa,  0.0%hi,  0.0%si,  0.0%st

Mem:    499996k total,   456908k used,    43088k free,    70140k buffers

Swap:  1052248k total,       68k used,  1052180k free,    93908k cached

Change delay from 1.0 to:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND

19291 root      16   0 26748 7908 3008 S 15.4  1.6   1:23.61 pfilter-reporte

11356 root      16   0 38432  22m 1836 D 15.4  4.7   0:00.16 confd.plx

 3176 root      16   0 13332 8432 2496 S  2.9  1.7  52:35.38 selfmonng.plx

11355 root      15   0 38576  23m 1980 D  2.9  4.7   0:00.20 confd.plx

19301 root      15   0 12968 8080 2492 S  1.9  1.6   0:03.01 notifier.plx

Skype probably opens up a number of outbound connections on different ports rapidly to figure out the best way to connect the call.

your right Andreas, sorry missed that one.

I need more coffee

issue is stilll here with 7.005..[:(]

How does your IPS Portscan configuration look like?

The portscandetection works like that:

For every source ip that traverses the network in keeps track of which ports have been tried to open. 
If a certain source ip tries to connect to many different destination ports and between two port attemps is less time than 300ms than a counter is incremented. If the counter reaches a certain threshold, than the assumption is that this ip is currently doing a portscan.

The system triggers alert/drop if somebody tries to open more than 4 different ports per second for at least 6 seconds, than the ip is marked as portscanner.

now Skype is a pretty agressive application, which easily tries to establish that many connections per second.

Do you have "limited logging" enabled?
If not, please do so, as it will lower the amount of log lines generated.

hope that helps regards
Gert

al ips functions are off.  I have zero packet filter logging. I have portscan detection off, anti flood off, anti ddos off..etc.  anything that uses ips functions is off.

it turns out it's part of a DOS vulnerability with the pfilter script:

http://www.hescominsoon.com/archives/773

pfilter-reporter is still evil on 7.006.

Our ASG220 was originally completely bridged and had no problems. Yesterday I moved it to a NAT style arrangement and pfilter-reporter chews 20-50% CPU.

This is pretty sad as it kills the performance of the unit.

Coz of the bad rules update yesterday I did a fresh install of ver 7.006 from ISO.
(No up2dates)

CPU usage is now 2-10% whereas before it was around 70-100%..

Great improvement, you may wish to try.. (Hint, backup first!)

Coz of the bad rules update yesterday I did a fresh install of ver 7.006 from ISO.
(No up2dates)

CPU usage is now 2-10% whereas before it was around 70-100%..

Great improvement, you may wish to try.. (Hint, backup first!)

if that shows progress simon that's what i'll do..[[:)]]  I'll give the fresh install a go at things..[[:)]]

Coz of the bad rules update yesterday I did a fresh install of ver 7.006 from ISO.
(No up2dates)

CPU usage is now 2-10% whereas before it was around 70-100%..

Great improvement, you may wish to try.. (Hint, backup first!)

if that shows progress simon that's what i'll do..[[:)]]  I'll give the fresh install a go at things..[[:)]]

Good luck William.  Certainly made a difference here.  Mine had been gradually up2dated, maybe something broke during that period.
Its peaked at around 17% since reinstall.

Check CPU graph:
http://www.micromine.com/cpuusage_daily.png

Dunno if it will work for you but I'm well pleased!

(System running IPS, Web Proxy, SMTP proxy etc, 6 site to site VPNs, 100 clients)

I have just reloaded w/7.006 and updated to 007.  let's see what happens now..

Well i just hit the box with a BT session AND a portscan at the same time..so far pfilter is behaving.  Nice job for fixing this Astaro.

this is also nice because i can now run the IPS for attacks against my internet facing servers behind the astaro machine..

Before I attempt to reload my ASG,  what are the implications I'm going to be faced with?  I know a full backup is in order.  Did you reload and restore settings with a backup or did you manually reenter them?

Thank you!

EDIT:  How does one reload the ASG?  I just realized there is no CDROM on the unit.  Or am I going to need to RMA this for a working 7.006 box?

If you have an ASG appliance, contact your reseller.  They can provide you with a special CD (you can't use the ISO image that's available on the download.astaro.com site) that you can use to reload it.  You will need an USB CDROM Drive... just plug the drive into a USB port, put the CD in, and power it all up... it will automatically reload the whole system, with a message on the LCD when it's done, or if you are running a 120 / 110, it will just do the shutdown beeps when it is done.  It will take 15 to 40 minutes depending on the appliance.

Thanks for the reply.  I'll get in contact with the reseller!