Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 24523 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS - Performance Problem

GuyFawkes
Hi guys,

I have a little performance issue and I hope anyone have an idea , how I can go on.

At this moment, it occurres only @home
Software Appliance - Version: 9.101-12

Internet - cable modem bandwidth100-120mbit/s - UTM
With the version 9.0, I have a throughput of 80-90mbit/s.

Since the update to 9.1, the throughput is only 20-30mbit/s (same config, same system).
If I disable the IPS, I get great values ​​again 100-110mbit/s. 
In the IPS configuration I select only the systems I use. I active the IPS and after seconds... I have the bad values again.

This is only from WAN to LAN. From LAN to DMZ, everything is all right.

Nice greetings


This thread was automatically locked due to age.
  • 0
    Try what I call Rule #1 (enhanced):

    Whenever something seems strange, always check the Intrusion Prevention,
    Application Control and Firewall logs.


    Any luck?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    same here. My provider has a speedtest page, when enabling IPS I only get a third (100 Mb/s) of my actual speed (150 Mb/s). When disabling IPS I'm reaching maximum bandwidth. When IPS is enabled and the issue occurs the IPS livelog shows this:

    2013:06:06-00:38:49 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049355 bytes (server queue). 192.168.1.50 59557 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-00:38:51 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049910 bytes (server queue). 192.168.1.50 59559 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-00:38:52 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049446 bytes (server queue). 192.168.1.50 59537 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x406007
    2013:06:06-00:38:52 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1048696 bytes (server queue). 192.168.1.50 59558 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-00:39:00 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049680 bytes (server queue). 192.168.1.50 59560 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-00:39:39 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049200 bytes (server queue). 192.168.1.50 59588 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-00:39:40 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049597 bytes (server queue). 192.168.1.50 59587 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-00:39:41 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049250 bytes (server queue). 192.168.1.50 59589 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-00:39:41 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1048882 bytes (server queue). 192.168.1.50 59590 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x406007
    2013:06:06-00:39:41 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049932 bytes (server queue). 192.168.1.50 59568 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x406007
    2013:06:06-00:39:43 firewall snort[17700]: S5: Session exceeded configured max bytes to queue 1048576 using 1049719 bytes (server queue). 192.168.1.50 59591 --> 212.142.48.5 8888 (0) : LWstate 0x9 LWFlags 0x6007 

    Any idea?

    Franc.
  • 0
    Hi Franc, I'm not sure you're having the same problem; you're getting TWO Thirds (66%) of your potential performance; Guy is getting only about 20%.
    Are you also running 9.1x?

    Franc, I'm guessing your CPU is limiting your IPS performance; can you post the CPU model and speed?

    Both of you:
    What do you have in the IPS "protected networks" setting?

    Barry
  • 0 in reply to BarryG
    Hi,

    sorry about that. I thought this thread would be the right place since it's about performance issues with IPS enabled. Anyway, my setup is a virtual machine with 1vCPU and 4GB memory. The host is a vSphere 5.1 host with 32GB memory and an Intel Core i7-2600 processor running at 3,4GHz.  There are 3 VM's running on this machine.

    I've Internal Network defined under local networks.

    Franc.
  • 0
    Franc, instead of your ISP's speedtest, try speedtest.net and see if you get the same problem with "max bytes" in the log.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    same result. However, with speedtest.net it seems the entries are reported during the upload speed test. Download speed is also lower when IPS is enabled (60Mb/s vs 80Mb/s)

    2013:06:06-23:25:56 firewall snort[18872]: S5: Session exceeded configured max bytes to queue 1048576 using 1049880 bytes (server queue). 192.168.1.50 61579 --> 217.77.129.77 80 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-23:25:56 firewall snort[18872]: S5: Session exceeded configured max bytes to queue 1048576 using 1049716 bytes (server queue). 192.168.1.50 61578 --> 217.77.129.77 80 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-23:26:03 firewall snort[18872]: S5: Session exceeded configured max bytes to queue 1048576 using 1048929 bytes (server queue). 192.168.1.50 61577 --> 217.77.129.77 80 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-23:26:29 firewall snort[18872]: S5: Session exceeded configured max bytes to queue 1048576 using 1048737 bytes (server queue). 192.168.1.50 61585 --> 217.77.129.77 80 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-23:26:30 firewall snort[18872]: S5: Session exceeded configured max bytes to queue 1048576 using 1049238 bytes (server queue). 192.168.1.50 61588 --> 217.77.129.77 80 (0) : LWstate 0x9 LWFlags 0x6007
    2013:06:06-23:26:30 firewall snort[18872]: S5: Session exceeded configured max bytes to queue 1048576 using 1049511 bytes (server queue). 192.168.1.50 61587 --> 217.77.129.77 80 (0) : LWstate 0x9 LWFlags 0x6007
  • 0
    Hi, several users seem to be getting those errors in the log... can you open a support case?

    Barry
  • 0
    Hi,

    Since this is happening on my home license and not our corporate license, I think I'm not allowed to open a case for that.

    Franc.
  • 0
    I am getting similiar results. 

    With IPS off I get the following speedtest.net results:
    -ping: 0ms
    -Download: 115.56Mbps
    -Upload: 16.31Mbps

    With IPS on:
    -ping: 10ms
    -Download: 55.77Mbps
    -Upload: 15.94Mbps

    I have checked IPS and found no errors in the log or the live log while the speedtest was running. Here are my specs:

    Machine: Virtual Machine
    CPU: 8 cores (2 physical Quad Core Processors)
    Memory: 6GB
  • 0
    Hi,
    All of you using VMs:

    1. which VM hypervisor (ESXi or KVM or ?)

    2. which NIC drivers are you using in the Astaro VM? 
    Note that the 'flexible' drivers have severe performance problems; the VMxNet or e1000 drivers are recommended.

    Barry