Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 41 replies
  • Subscribers 1 subscriber
  • Views 17441 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Proxy Profiles in v7.009

AI4LY
I have several 6.311 firewalls throughout our company.  I would love to upgrade these firewalls to version 7.  First, I wanted to test it on my home firewall to see if there were any issues.  I installed the 7.006 ISO and started setting things up.  After the initial configuration everything was working pretty well.

Shortly afterwards, I applied the updates all the way to version 7.009.  After the updates, I went back through the configuration.  This is when I realized that if I created a new (or edited an existing) http profile, I could no longer check the checkbox to assign a Filter Assignment to the profile.  The up / down arrows are also missing.  When I click on the checkbox for any of the filter assignments on this screen, it simply moves the filter assignment to the top of the list, but never puts a check mark in the checkbox.  As a result of not being able to check the checkbox, the http profile will not enable in the system.  

I have opened a support case with Astaro; however, since this is a home use license (my testing firewall), they will not support this issue.  They did recommend that I ensure that the page is not being cached by emptying my history.  I have deleted the history, cookies, and temporary internet files, closed the browser and went back into the web admin.  The problem is still there.  

Has anyone else ran into this issue?  I cannot afford to upgrade all of our firewalls to version 7 with this issue still happening.  Please see the attached screen shot of this issue.


This thread was automatically locked due to age.
Parents
  • 0
    What kind of Browser are you using? and which version?
    Did you setup automatic cleaning temp Internet (cache) at closing?
  • 0 in reply to SilverOne
    I'm using Internet Explorer V6 SP2 (6.0.3790.3959).  

    I have setup the automatic cleaning of temp files at closing.  I've also (per Astaro support's instructions) "cleaned my history".  I've also manually delete all temporary internet files and cookies.  Still it doesn't work.
     
    Since my testing firewall is now broken (with 7.008), I applied the 7.009 up2date patch and it did NOT fix the problem.
  • 0 in reply to drees
    Drees, that is the whole point...they shouldn't be. They should be testing with majority of the browsers out there to provide better QA. Especially in the SMB market, loads of businesses use IE6 or IE7 as they have proprietary applications that rely on a specific browser. IE still has 60% of the browser market, as much as you, I or Astaro would like the likes of Firefox, Mozilla and Opera to rise up in the ranks, the reality is that SMB is the market Astaro are targeting. And SMB bussinesses use IE over the others. 

    Therefore Astaro should be testing as many of the possibilities or ways, their customers are using their products...before releasing buggy software.
  • 0 in reply to Hi-con

    I think the bottom line of this is that 7.008 or 9 has a good chance of erasing or crippling your firewall.  The use Firefox argument is crazy and only shows what an abysmal job Astaro are doing with QA.

    But what can we do?? Before we updated to 7.009 we had virtually no issues with the HTTP proxy ... now surfing is slow/problematic with various bits broken. Myself and our customers have suffered not stop issues with v7. I've never encountered such a myriad of issues with a previous Astaro product. I think the fault lies in the product's overall complexity and you need to give it a good 12-18 months to work out the kinks. But why should I be a beta tester for so long and have to watch my customer's faith in the product decline?

    v7 is definitely the Northern Rock of Astaro operating systems and I would strongly advise any enterprise customer to stick with v6 for now.

    Historically it usually takes Astaro to get to a .1 release to get things sorted (think back to 6.100).
  • 0 in reply to James Bourne
    Guys 

    I have noticed that the squidf daemon is running very high on our boxes since 7.009, but I don't have any IPS currently on our boxes.
    Does the HTTP Proxy use squid?  Can anyone tell me why this process maybe running so high?
  • 0 in reply to James Bourne
    I'm so sick of the "Try FireFox" argument that I can't stand it.  Just for the sake of argument, let's say that that FF vx.x "fixes" the problem.  Are we now required to convert our whole organization over to FF just to use this product?  Not likely.  How about they just fix the software and let's call it a day?
  • 0 in reply to Mike_H
    Guys 

    I have noticed that the squidf daemon is running very high on our boxes since 7.009, but I don't have any IPS currently on our boxes.
    Does the HTTP Proxy use squid?  Can anyone tell me why this process maybe running so high?


    Hey Mike --- they do currently use squid for web proxy functions... they are going to be dumping squid in the next month or so for a custom-written proxy that uses less memory and processor resources with improved performance.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Cheers

    One last thing.  Can you guys tell me what the kswapd0 daemon does as that too is taking loads of CPU time up....  Another proxy daemon?
  • 0 in reply to Mike_H
    Because of how Squid handles memory, and how the Linux kernel is configured on Astaro, it's having to use the swap file quite a bit... kswap manages / uses it.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to Mike_H
    OK

    The above process basically crippled my cluster.  So if anyone can tell me what it does that would be great
  • 0 in reply to Mike_H
    Cheers Bruce

    So it looks like my Cluster is under spec'ed.  Damn it!  I knew I should have gone for 2 525s....

    We only have about 9000 concurrent connections.  Looking at the spec I thought 2 425s could handle the load...
    Could it be this Proxy using too many resources...  Not sure we can wait till November for a better one..

    Nightmare!!
  • 0 in reply to Mike_H
    For "fun", try turning off caching on the proxy... Squid consumes more memory when that is turned on.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Reply Children
  • 0 in reply to BrucekConvergent
    BTW, what size is the pipe and what appliance are you running?  I've seen instances where resellers (that had no clue) sold way undersized appliances to customers that should have gotten 320s, 425s, etc.  --- we were brought in to solve the problem on a few and ended up with some new customers, and they ended up with upgraded appliances (for a fee).

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hi Bruce

    Well I think we may have a memory issue.  here is why:

    At around 14:00 we were on around 10,000 concurrent connections, 74% CPU and 40% MEM  0% SWAP.  Then suddenly, and I mean suddenly, we were on around 86% CPU, 96% MEM, 94% SWAP!!!   I was unable to SSH in or webadmin.
    Internet was a dog and people were getting login to proxy errors all the time.  Then all of a sudden our master node died.   
    We rebooted at the box, and since then things have got back to normal, a few people are still getting login boxes though.

    We have a 100 Mbs Pipe, 3,000 nodes and a cluster of 2 425a machines which we were told performed like the old 525s, so we thought that was ok.  
    We shift around 70 GB Bandwidth a day and get about 10,000 concurrent connections.
    I do hope we are not underspec'ed as management will have a head fit.

    I am wondering if we have a memory fault, and when it hits a certain level it fails and starts to use swap, which basically kills the box, well the one with the fault?

    What is your thoughts?
  • 0 in reply to Mike_H
    At around 14:00 we were on around 10,000 concurrent connections, 74% CPU and 40% MEM  0% SWAP.  Then suddenly, and I mean suddenly, we were on around 86% CPU, 96% MEM, 94% SWAP!!!

    Sounds like a serious memory leak in a process. Definitely open a trouble ticket and at the same time, if you can keep a terminal open with "top" running so you can see what process goes crazy that will help identify the issue.
  • 0 in reply to drees
    Cheers drees

    I do appreciate all the help
  • 0 in reply to Mike_H
    One things guys.  I have been looking at my slave and I'm not convinced its actually sharing the load equally...   other than looking at the content filter log is there any other logs that could confirm or deny this?