[7.011] HTTP Download Speed

James,
remember the proxy caches your download so that it can scan it where as a PF just passes it straight through.

There is a possibilty of something being wrong with the proxy because I see a lot of dropped syn or ack packets in the PF log. This would imply that something wrong, but I can't get anyone to address the issue seriously, so I came to the conclusion that there is something wrong with my configuration. The main offender is my own PC which is running Vista 32 Ultimate.

Ian M

Ian - Are you are saying that you see a lot of dropped packets in your PF log on port 80 when you have the HTTP proxy running?

Spot on and it annoys the hell out of me because I can't find anything wrong with my proxy configuration on the PCs or the ASG.

I run the http proxy in standard mode.

I have asked about this in the forum, but you are the only person that has seen a similar issue.

Ian M

Quick question ... when I download an EXE with transparent proxy on I see about 130Kbps. When I download the same EXE with the transparent proxy disabled I now see around 600Kbps.

Why such a large difference? Or is the 7.011 proxy really just that inefficient? Anyone have any feedback on the 7.100 proxy?

TIA,

James

Do you have av or content filtering on?  AV especially kills proxy performance.

Maybe we are the only ones that looked?  :-)

When I put the origional v7 into production my users started reporting slow internet browsing and timeouts while browsing.

When I looked at the PF log I saw a constant rolling screen of "DEFAULT DROP" packets from my external interface to various external websites.  I submitted a ticket to support( CaseID 00050292) and was left with the feeling that they did not know what the problem was.  I just went back to v6 and the problems went away.

When they started the beta with the b/w lists in the proxy, I switched back.  It has the same problem though, it DEFAULT DROPs port 80 packets in a constant stream.

Support looked at this again (CaseID 00057724 - I'm unsure of the status since Tuesday), and found some settings that were causing the source to showup as my outside interface, they fixed this, but I still have the droped packets but now they have the actual client IP assigned.  I checked the client and the IE proxy settings are correct.

This is in both AD SSO and Standard modes.  In transparent, it works, but it caused other problems.

And I really, really, really appreciate the re-implemintation of the w/b lists, but I wish they had provided some way of importing my old lists.  My HS-Students filter would have over 1,000 entries in the back list.  The "Anonymous" proxies are a real pain, since the surf filter can't keep up with them.

And if I use the "Uncategorized" filter, it's even worsre.  

So, long story short, I can only use the proxy in transparent mode if I want any preformance out of it at all.  I don't want to run it in trransparent mode, I want to run it in AD SSO so I can get the usernames in the log.

Even if it were working fine though, I would still have to spend a huge amount of time re-entering my w/b lists a single line at a time.

What would be really nice would be if I could create "Blacklist" and "White List" catagories for the content filter.  What I mean by that is when I am making a "Filter Action" I could select "whitelist" as a surf catagory.  Something simular for the Black List.

I have several profiles that use the same w/b lists, why enter them more than once?  

Longer story short:  I'm sorry that you are having this problem too, but I am glad it is not just me!

Hrm, I'm using SSO and appears to be quite snappy in speed. (For web browsing via cache).
Using latest 7.100

Are you:
Masquerading internal network at all?
Allowing port 80 out in packet filter settings?
Possibly wrong/bad DNS settings?

My v7  moves right along at home as well, but I don't have that much of a load on it.  And I don't see if dropping port 80 packets at all.

I have at least 14 masq networks - Did this change for v7?  I don't need them?

I am not allowing port 80 traffic out. No proxy = no internet.  And if I were, I wouldn't be seeing drops, I'd would be seeing Allows.

Anything is possible, but the DNS resolves both external and internal domain names.

And I really, really, really appreciate the re-implemintation of the w/b lists, but I wish they had provided some way of importing my old lists.  My HS-Students filter would have over 1,000 entries in the back list.  The "Anonymous" proxies are a real pain, since the surf filter can't keep up with them.

I am curious as to how you found them faster than the surf filter. We work with a lot of schools, and I know kids have ways of finding them quickly, but how is it that you were notified of them before the updates? 

Thanks...

Notified?  Hah, that'll be the day.  And what updates?  Is there supposed to be some official schedule when the Surf catagories are updated?  I have looked back in the logs and seen were the kids have been using one of those proxy sites for over a month.  No updates going on there. 

I actually check the logs and see what the kids are looking at, and I go there myself.  That and the fact they love to brag about how they are able to beat the filter. 

Most of the sites have a very detailed list of proxy sites.  I download it, then paste the thing in the blacklist.  I am sure I have dupes in there, but it didn't seem to matter.  I can't depend on the content filter to block them.

One thing I notice is how very slow the HTTP proxy becomes when there is even a residual amount of BitTorrent traffic being handled on the SOCKS5 proxy.

I have come to the conclusion that Astaro Linux is not configured very well to handle busy traffic. I don't know if this is purely technical or if there are business issues at play, i.e. revenue protection for the more expensive licenses.

The HTTP proxy's lack of performance is very frustrating to say the least. When I was using the Sun Web Proxy, performance was a lot better.

I'm still very new with Astaro so there very well may be better ways of setting it up for increased performance. Perhaps assigning some more IP addresses and then running each proxy on a separate IP might help (if I can do that). There are a lot of settings, so I hope more knowledge is discovered and pushed out into the community.