v8.310 Up2Date?

If the reboots didn't fix this once-and-for-all, try a restore of a backup from before the problems started.

Check 'Support >> Advanced' to confirm that you don't have clam running.  If it is, check the 'Anti-Virus' tab in 'SMTP', 'Web Filtering' and 'FTP' to set everything to "Single scan."

If the problem persists, get Support involved.

Cheers - Bob

Hi Gilipeled, hi Bob,

I already put the 3 scanners to single-scan when the firewall started to make problems weeks ago. no change.

I stopped ISP this morning (7h ago) and didn't had a httpproxy error since then (still waiting for it [:(]

I was able to do the reboot-sequence you've told me Bob a few minutes ago, 
Slave is currently in Syncing mode.

Bob, I didn't understand the "clam running" part, but then, it is already on single-scan.

I'll be back tomorrow morning, lets see if something changed 'til then.

tnx & have a nice evening,
Clyde

ClamV is the second scan engine in V7 and V8.  It sounds like you already have that issue covered.  I just suggested searching on the 'Process List' tab to confirm that you'd gotten them all.

Cheers - Bob

Hi ,

Stopping the IPS as you already did is doing a big difference and that's why you did not get any errors after stopping it.
I still think that 1Gb of RAM is very problematic when IPS , and HTTP Proxy runs for together , but it should work.
Can you check the max size for scanning in the AV of the HTTP PROXY ?
I saw long ago when this size was big then when a file is large and download then it puts very high stress on the CPU.

All my best.
Gilipeled

Hi guys,

Good news for beginning: for the last 24h I didn't have a httpproxy-error.
Seems that the IPS changes did a lot for that.

And with rebooting slave before master and let it sync in between I was also able to get rid of POP3-proxy errors that occassionaly shown up.

I checked again: http, ftp and smtp-proxys are on single-scan, no Clam process running (except ".../usr/bin/clamd -c /etc/clamd.conf" without CPU-Load).
Web-scanning size is set to 50 MB, is this to high?

And what about disabling IPS, how "unsafe" is it to do this? 
btw: we do not have any internal web- or mailserver nor remote-access from outside (except of me [[:)]]


tnx for the help! 

Clyde
 [[:)]]

Hi ,

First change the web scan size to 10 its enough .
Second thing , IPS its good to have enable but as I told before with 1GB it can be very problematic if Http Proxy is also enable from my experience.
You can maybe try to re enable it but in its definition try to remove all checkboxes from thing you don't need , there are a lot of categories that according to what you have say , you don't need.
Try to see if without those checkboxes you can run the IPS with the proxy.
Please inform .

All my best.
Gilipeled

thanks @BAlfson... screen shot helps me to understand the reason and solution of the problem i encountered... thanks again.. cheers!

Hi Gilipeled,

ok, I changed to 10MB instead of 50MB and I also re-enabled the IPS (but unchecked those patterns I don't realy need. Let's see what happens.

cul8r

tnx
Clyde

Hi ,

Hope it will be enough and in this way you will be able to leave the IPS on.
Inform of the results.

All my best.
Gilipeled

Hi Gilipeled,

It's Friday, the sun is shining and the firewall is working!
[:)]

Even if the SNORT was restarted twice yesterday evening,
everything else looks good for now. No httpproxy-problems
anymore, CPU load at normal 20% (few peaks), memory high
as usual (always over 85%) due to the just 1GB.

So for now I'm realy happy!

What I did since starting this thread was:
- all scanners to single-scan
- Web scanner set back from 50M to 10M size
- IPS enabled but with the minimum acceptable tasks
- reboot Slave, let it sync an *then* rebooted Master

Let's see, if it stays stable... 


Thanks again for the hints (also to you Bob!).

cu
Clyde