Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3930 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Country Blocking with Exceptions - some muscle required

eganders_01
In a nutshell, the overall horsepower of the computer running the Sophos UTM seems to make all the difference if you want to use Country Blocking and Country Blocking Exceptions.  

On several software only UTM's, we enabled the Firewall Country Blocking "From" parameter, in order to block connections initiated from most countries, with Country Blocking Exceptions also enabled for SMTP email from all countries and some local traffic (OWA, HTTP, etc.).  After doing so, the CPU's pegged at 100% on several UTM's for hours, though not necessarily starting immediately.  It may be a reflection of worldwide traffic accessing that particular UTM, because some Intel Atom boxes with 4Gb, and other beefier UTM's, were fine.  But several regular boxes with 2Gb and 4Gb were struggling.

On those UTM's that were CPU overloaded, we tried cutting back to just a small number of countries for blocking and exceptions.  That helped for some UTM's, but for others we had no choice but to disable the country blocking entirely to get the CPU utilization down.

The mix of boxes we used were new to old, I7 to Atom's, 4 core to 1 core, 8Gb to 2Gb and SSD's, to SATA.


This thread was automatically locked due to age.
Parents
  • 0
    Hi, what does 'top' show is using the CPU?

    Barry
  • 0 in reply to BarryG
    Hi, what does 'top' show is using the CPU?


    I did some testing over the weekend.  Barry was on the right track.  Running "top", from SSH, on any of the boxes having issues showed that the huge user of CPU cycles was the HTTP Proxy.

    The main reason we were seeing a problem appears to have been the problem BAlfson illuminates in another thread here - running both AV scanners simultaneously (in v.9.101), can lead to excessive CPU utilization.  I used Bob's single scan fix (only run Avira for AV scanning until a repaired version is released - presumably v.9.102 or later), and, for the most part the excessive CPU issue went away.

    However, I do continue to have repeated run ups of HTTP Proxy CPU cycles on the 2Gb box.  And, so far at least, the CPU cycles seem to stay low after resetting the web proxy, and leaving the Country Blocking and Country Blocking Exceptions disabled.  However, that may be more a function of the horsepower, or facet thereof (RAM?), of that box than anything specific about CB.

    Another interesting thing.  The 4Gb Atom boxes, with only CB enabled (no CB Exceptions - not necessary because they never host web or mail servers) have not had a problem, though they are only lightly used.  But it sure makes it seem as though RAM is the important factor.
Reply
  • 0 in reply to BarryG
    Hi, what does 'top' show is using the CPU?


    I did some testing over the weekend.  Barry was on the right track.  Running "top", from SSH, on any of the boxes having issues showed that the huge user of CPU cycles was the HTTP Proxy.

    The main reason we were seeing a problem appears to have been the problem BAlfson illuminates in another thread here - running both AV scanners simultaneously (in v.9.101), can lead to excessive CPU utilization.  I used Bob's single scan fix (only run Avira for AV scanning until a repaired version is released - presumably v.9.102 or later), and, for the most part the excessive CPU issue went away.

    However, I do continue to have repeated run ups of HTTP Proxy CPU cycles on the 2Gb box.  And, so far at least, the CPU cycles seem to stay low after resetting the web proxy, and leaving the Country Blocking and Country Blocking Exceptions disabled.  However, that may be more a function of the horsepower, or facet thereof (RAM?), of that box than anything specific about CB.

    Another interesting thing.  The 4Gb Atom boxes, with only CB enabled (no CB Exceptions - not necessary because they never host web or mail servers) have not had a problem, though they are only lightly used.  But it sure makes it seem as though RAM is the important factor.
Children
No Data