IPS performance issues

1,3 Ghz CPUs wil not give huge IPS speeds, but more than 40mbit should be possible.

which kind of CPU are you using?
Are you using Hyperthreadin (if available)?
how many snort instanes are running on your ASG (log in to shell, and search with top command, how many snort instances are running)
which ASG Version are you running?

Maybe settings number of snort instances to 2 (if not already automatically set so by ASG) will speed up things further.

Maybe also following the tweaking Guide (see my signature for link) also may help further.

Sent from my iPad using Astaro.org (finally got One)

1,3 Ghz CPUs wil not give huge IPS speeds, but more than 40mbit overall speed should be possible on a "normal" multicore system (no Intel Atoms or via C*** CPUs)...but maybe not for a single stream (which is CPU core speed dependent)

which kind of CPU are you using?
Are you using Hyperthreadin (if available)?
how many snort instanes are running on your ASG (log in to shell, and search with top command, how many snort instances are running)
which ASG Version are you running?

Maybe settings number of snort instances to 2 (if not already automatically set so by ASG) will speed up things further.

Maybe also following the tweaking Guide (see my signature for link) also may help further.

Sent from my iPad using Astaro.org (finally got One)

Sent from my iPad using Astaro.org (finally got One)

I have just moved back to a physical machine as the hyper-v one kept crashing.

this has 1 x 1.8 Ghz processor and 1.25GB DDR ram (old machine!!)

The performance is slightly better @ 55-60 Download.

I have had a quick look in shell and can only see one instance of snort running.  How do I increase this to 2??

I am currently running version 8.201, but will be upgrading this to 8.202 after typing this.

Regards

Andy

Hi, with only 1 CPU core, you don't want more than one Snort instance.
(I'm assuming your 1.8GHz CPU is only 1 core and no HT.)

You can login/su as root and run 
cc set ips num_instances 2
to change the # of instances.

IME, the AFCD process also uses a lot of CPU, and I couldn't get more than about 50mbps with it and the IPS both running on my Atom CPU. (see https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40032)
Also, increasing Snort threads didn't help Snort performance on my (HyperThreaded) Atom.

However, in 8.2, afcd has been replaced with a new traffic classifier, and I haven't tested it. You could try disabling it though and see if it helps.
(run top and see what's using CPU during high-bandwidth usage.)

Also, you need to make sure you have the IPS setup well, and consider creating exceptions for some of your traffic.
And consider getting a faster CPU.

Barry

I am considering newer hardware, but when looking at the dashboard in web admin the cpu never seems to get very stressed at all??

What sort of hardware requirements should I be looking at in order to attain the 100mb download speeds?

Try running top when your experiencing a bandwidth bottleneck (when you're maxing out at 40mbps).

My single-core Atom can only get about 65mbps with Snort, and with afcd disabled.
I doubt a multi-core Atom would be a whole lot better, and you might want to have some reserve for http anti-virus and future features, so I'd recommend a low-wattage Intel i3 (Sandy Bridge) or AMD Athlon or A8 (Llano) CPU.

Barry

Just one final quick question, which may sound stupid, but what exactly does the IPS feature do?

I know it prevents unathorised access to your network, but how??

What are the negatives of running my home ASG without IPS given I have a small business server and a few test servers running on my network??

I'm just trying to work out if I need to spend a stupid amount of money on some new hardware, or look at the hyper-v issues and try and resolve them.

Finally, how well do you think the asg would run directly on a HP Proliant Microserver?  These are what i use at present, and given they can be got for around £140 after cashback and they are low power units seems quite appealing.  The cpu in them is a 1.3 Ghz dual core AMD athlon II Neo.

Thanks

Andy

IPS block packets matching known attacks.

If you don't have any services exposed to the internet (with DNAT), then you don't need to worry about your servers, but there's still lots to worry about wrt your web browsers, etc.

I haven't heard of the AMD Neo before. It'd probably be faster than an Atom, but I don't know how well it'd perform at 100mbps.
If you already have one, test it.

Barry

better than the atom by a huge margin.  the neo is basically a ulv athlon which runs circles around atom in performance and is very close on power.

For what it's worth, I wouldn't expect top performance from a Hyper-V VM with Astaro, or any Linux distro for that matter.  It's compatible, but M$ isn't really focused on competing OS performance on their Hypervisor.  I've found VMware (ESXi 4.1 or 5.0, to be precise) to be the best fit for us and our customers that wish to run Linux distros in a virtual environment.