Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 41 replies
  • Subscribers 1 subscriber
  • Views 17441 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Proxy Profiles in v7.009

AI4LY
I have several 6.311 firewalls throughout our company.  I would love to upgrade these firewalls to version 7.  First, I wanted to test it on my home firewall to see if there were any issues.  I installed the 7.006 ISO and started setting things up.  After the initial configuration everything was working pretty well.

Shortly afterwards, I applied the updates all the way to version 7.009.  After the updates, I went back through the configuration.  This is when I realized that if I created a new (or edited an existing) http profile, I could no longer check the checkbox to assign a Filter Assignment to the profile.  The up / down arrows are also missing.  When I click on the checkbox for any of the filter assignments on this screen, it simply moves the filter assignment to the top of the list, but never puts a check mark in the checkbox.  As a result of not being able to check the checkbox, the http profile will not enable in the system.  

I have opened a support case with Astaro; however, since this is a home use license (my testing firewall), they will not support this issue.  They did recommend that I ensure that the page is not being cached by emptying my history.  I have deleted the history, cookies, and temporary internet files, closed the browser and went back into the web admin.  The problem is still there.  

Has anyone else ran into this issue?  I cannot afford to upgrade all of our firewalls to version 7 with this issue still happening.  Please see the attached screen shot of this issue.


This thread was automatically locked due to age.
Parents
  • 0
    What kind of Browser are you using? and which version?
    Did you setup automatic cleaning temp Internet (cache) at closing?
  • 0 in reply to SilverOne
    I'm using Internet Explorer V6 SP2 (6.0.3790.3959).  

    I have setup the automatic cleaning of temp files at closing.  I've also (per Astaro support's instructions) "cleaned my history".  I've also manually delete all temporary internet files and cookies.  Still it doesn't work.
     
    Since my testing firewall is now broken (with 7.008), I applied the 7.009 up2date patch and it did NOT fix the problem.
  • 0 in reply to AI4LY
    You might try Firefox, it seems that they test more thoroughly with Firefox than with IE, especially IE6.
  • 0 in reply to drees
    Our company only uses IE 6 as none of our critical software will support IE 7 yet.  I'm not going through the hassle of using different web browsers just to make their product work (if that will even fix the issue).  Either they will fix this issue soon or I'll move on to something that actually works correctly.  Not only is this an issue for me but they also did away with the blacklist/whitelist for each profile and made the HTTP proxy not very useful to several of us.
     
    Besides the fact that version 7 is not production ready for my company at this time, I still cannot get any support on this matter from Astaro even though I have explained to them that (1) this is a testing firewall for this specific purpose (testing), (2) my company has many Astaro firewalls already in place running version 6 that I would really like to upgrade soon, (3) provided a screen shot to prove that this problem exists here, (4) offered to provide them the license numbers for the other firewalls in my company to prove that we should receive their help...  Still no help from Astaro other than a suggestion to "clear my history".  
     
    Very un-happy customer!
  • 0 in reply to drees
    Drees, that is the whole point...they shouldn't be. They should be testing with majority of the browsers out there to provide better QA. Especially in the SMB market, loads of businesses use IE6 or IE7 as they have proprietary applications that rely on a specific browser. IE still has 60% of the browser market, as much as you, I or Astaro would like the likes of Firefox, Mozilla and Opera to rise up in the ranks, the reality is that SMB is the market Astaro are targeting. And SMB bussinesses use IE over the others. 

    Therefore Astaro should be testing as many of the possibilities or ways, their customers are using their products...before releasing buggy software.
  • 0 in reply to Hi-con

    I think the bottom line of this is that 7.008 or 9 has a good chance of erasing or crippling your firewall.  The use Firefox argument is crazy and only shows what an abysmal job Astaro are doing with QA.

    But what can we do?? Before we updated to 7.009 we had virtually no issues with the HTTP proxy ... now surfing is slow/problematic with various bits broken. Myself and our customers have suffered not stop issues with v7. I've never encountered such a myriad of issues with a previous Astaro product. I think the fault lies in the product's overall complexity and you need to give it a good 12-18 months to work out the kinks. But why should I be a beta tester for so long and have to watch my customer's faith in the product decline?

    v7 is definitely the Northern Rock of Astaro operating systems and I would strongly advise any enterprise customer to stick with v6 for now.

    Historically it usually takes Astaro to get to a .1 release to get things sorted (think back to 6.100).
  • 0 in reply to James Bourne
    Guys 

    I have noticed that the squidf daemon is running very high on our boxes since 7.009, but I don't have any IPS currently on our boxes.
    Does the HTTP Proxy use squid?  Can anyone tell me why this process maybe running so high?
  • 0 in reply to James Bourne
    I'm so sick of the "Try FireFox" argument that I can't stand it.  Just for the sake of argument, let's say that that FF vx.x "fixes" the problem.  Are we now required to convert our whole organization over to FF just to use this product?  Not likely.  How about they just fix the software and let's call it a day?
  • 0 in reply to Mike_H
    Guys 

    I have noticed that the squidf daemon is running very high on our boxes since 7.009, but I don't have any IPS currently on our boxes.
    Does the HTTP Proxy use squid?  Can anyone tell me why this process maybe running so high?


    Hey Mike --- they do currently use squid for web proxy functions... they are going to be dumping squid in the next month or so for a custom-written proxy that uses less memory and processor resources with improved performance.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Reply
  • 0 in reply to Mike_H
    Guys 

    I have noticed that the squidf daemon is running very high on our boxes since 7.009, but I don't have any IPS currently on our boxes.
    Does the HTTP Proxy use squid?  Can anyone tell me why this process maybe running so high?


    Hey Mike --- they do currently use squid for web proxy functions... they are going to be dumping squid in the next month or so for a custom-written proxy that uses less memory and processor resources with improved performance.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Children
  • 0 in reply to BrucekConvergent
    Cheers

    One last thing.  Can you guys tell me what the kswapd0 daemon does as that too is taking loads of CPU time up....  Another proxy daemon?
  • 0 in reply to Mike_H
    Because of how Squid handles memory, and how the Linux kernel is configured on Astaro, it's having to use the swap file quite a bit... kswap manages / uses it.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to Mike_H
    OK

    The above process basically crippled my cluster.  So if anyone can tell me what it does that would be great
  • 0 in reply to Mike_H
    Cheers Bruce

    So it looks like my Cluster is under spec'ed.  Damn it!  I knew I should have gone for 2 525s....

    We only have about 9000 concurrent connections.  Looking at the spec I thought 2 425s could handle the load...
    Could it be this Proxy using too many resources...  Not sure we can wait till November for a better one..

    Nightmare!!
  • 0 in reply to Mike_H
    For "fun", try turning off caching on the proxy... Squid consumes more memory when that is turned on.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    BTW, what size is the pipe and what appliance are you running?  I've seen instances where resellers (that had no clue) sold way undersized appliances to customers that should have gotten 320s, 425s, etc.  --- we were brought in to solve the problem on a few and ended up with some new customers, and they ended up with upgraded appliances (for a fee).

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hi Bruce

    Well I think we may have a memory issue.  here is why:

    At around 14:00 we were on around 10,000 concurrent connections, 74% CPU and 40% MEM  0% SWAP.  Then suddenly, and I mean suddenly, we were on around 86% CPU, 96% MEM, 94% SWAP!!!   I was unable to SSH in or webadmin.
    Internet was a dog and people were getting login to proxy errors all the time.  Then all of a sudden our master node died.   
    We rebooted at the box, and since then things have got back to normal, a few people are still getting login boxes though.

    We have a 100 Mbs Pipe, 3,000 nodes and a cluster of 2 425a machines which we were told performed like the old 525s, so we thought that was ok.  
    We shift around 70 GB Bandwidth a day and get about 10,000 concurrent connections.
    I do hope we are not underspec'ed as management will have a head fit.

    I am wondering if we have a memory fault, and when it hits a certain level it fails and starts to use swap, which basically kills the box, well the one with the fault?

    What is your thoughts?
  • 0 in reply to Mike_H
    Reading that last post; it sounds typical of what happens... what happens is over the course of time, the proxy consumes more and more memory, until the free physical memory runs down to a point where the kernel starts swapping... when that happens, the processor skyrockets as kswap starts moving things around.  It sounds like your configuration should be adequate; check with your reseller, they should be able to add a bit more memory to that 425a, which will help matters.  If I had a customer tell me they had a 100MBps pipe they would be running a 525 or custom hardware.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Bruce,

    Just got home, logged in to work

    Astaro is at 1,500 connections and 60% RAM

    httpproxy at 40%
    squidf at 15%

    Thing was, memory did not look that high, it was very sudden, hence why i thought it could be a bad memory module?
    Its nice to ear that you don't think i totally stuffed the spec up.  i mean the paperwork on the 425 looked more than adequate
  • 0 in reply to Mike_H
    Doesn't sound like bad memory... sounds typical, actually.  Bad memory normally results in a kernel panic / crash ... not increased memory usage.  If it's not a 24 / 7 site, a scheduled reboot late at night might help... you can do that using ACC.  Definitely start a case with Astaro if you haven't already, there may be some tweaking they can do to help you out... and look at adding memory.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.