[7.011] HTTP Download Speed

James,
remember the proxy caches your download so that it can scan it where as a PF just passes it straight through.

There is a possibilty of something being wrong with the proxy because I see a lot of dropped syn or ack packets in the PF log. This would imply that something wrong, but I can't get anyone to address the issue seriously, so I came to the conclusion that there is something wrong with my configuration. The main offender is my own PC which is running Vista 32 Ultimate.

Ian M

Ian - Are you are saying that you see a lot of dropped packets in your PF log on port 80 when you have the HTTP proxy running?

Spot on and it annoys the hell out of me because I can't find anything wrong with my proxy configuration on the PCs or the ASG.

I run the http proxy in standard mode.

I have asked about this in the forum, but you are the only person that has seen a similar issue.

Ian M

Maybe we are the only ones that looked?  :-)

When I put the origional v7 into production my users started reporting slow internet browsing and timeouts while browsing.

When I looked at the PF log I saw a constant rolling screen of "DEFAULT DROP" packets from my external interface to various external websites.  I submitted a ticket to support( CaseID 00050292) and was left with the feeling that they did not know what the problem was.  I just went back to v6 and the problems went away.

When they started the beta with the b/w lists in the proxy, I switched back.  It has the same problem though, it DEFAULT DROPs port 80 packets in a constant stream.

Support looked at this again (CaseID 00057724 - I'm unsure of the status since Tuesday), and found some settings that were causing the source to showup as my outside interface, they fixed this, but I still have the droped packets but now they have the actual client IP assigned.  I checked the client and the IE proxy settings are correct.

This is in both AD SSO and Standard modes.  In transparent, it works, but it caused other problems.

And I really, really, really appreciate the re-implemintation of the w/b lists, but I wish they had provided some way of importing my old lists.  My HS-Students filter would have over 1,000 entries in the back list.  The "Anonymous" proxies are a real pain, since the surf filter can't keep up with them.

And if I use the "Uncategorized" filter, it's even worsre.  

So, long story short, I can only use the proxy in transparent mode if I want any preformance out of it at all.  I don't want to run it in trransparent mode, I want to run it in AD SSO so I can get the usernames in the log.

Even if it were working fine though, I would still have to spend a huge amount of time re-entering my w/b lists a single line at a time.

What would be really nice would be if I could create "Blacklist" and "White List" catagories for the content filter.  What I mean by that is when I am making a "Filter Action" I could select "whitelist" as a surf catagory.  Something simular for the Black List.

I have several profiles that use the same w/b lists, why enter them more than once?  

Longer story short:  I'm sorry that you are having this problem too, but I am glad it is not just me!

Hrm, I'm using SSO and appears to be quite snappy in speed. (For web browsing via cache).
Using latest 7.100

Are you:
Masquerading internal network at all?
Allowing port 80 out in packet filter settings?
Possibly wrong/bad DNS settings?

My v7  moves right along at home as well, but I don't have that much of a load on it.  And I don't see if dropping port 80 packets at all.

I have at least 14 masq networks - Did this change for v7?  I don't need them?

I am not allowing port 80 traffic out. No proxy = no internet.  And if I were, I wouldn't be seeing drops, I'd would be seeing Allows.

Anything is possible, but the DNS resolves both external and internal domain names.

And I really, really, really appreciate the re-implemintation of the w/b lists, but I wish they had provided some way of importing my old lists.  My HS-Students filter would have over 1,000 entries in the back list.  The "Anonymous" proxies are a real pain, since the surf filter can't keep up with them.

I am curious as to how you found them faster than the surf filter. We work with a lot of schools, and I know kids have ways of finding them quickly, but how is it that you were notified of them before the updates? 

Thanks...

Notified?  Hah, that'll be the day.  And what updates?  Is there supposed to be some official schedule when the Surf catagories are updated?  I have looked back in the logs and seen were the kids have been using one of those proxy sites for over a month.  No updates going on there. 

I actually check the logs and see what the kids are looking at, and I go there myself.  That and the fact they love to brag about how they are able to beat the filter. 

Most of the sites have a very detailed list of proxy sites.  I download it, then paste the thing in the blacklist.  I am sure I have dupes in there, but it didn't seem to matter.  I can't depend on the content filter to block them.

One thing I notice is how very slow the HTTP proxy becomes when there is even a residual amount of BitTorrent traffic being handled on the SOCKS5 proxy.

I have come to the conclusion that Astaro Linux is not configured very well to handle busy traffic. I don't know if this is purely technical or if there are business issues at play, i.e. revenue protection for the more expensive licenses.

The HTTP proxy's lack of performance is very frustrating to say the least. When I was using the Sun Web Proxy, performance was a lot better.

I'm still very new with Astaro so there very well may be better ways of setting it up for increased performance. Perhaps assigning some more IP addresses and then running each proxy on a separate IP might help (if I can do that). There are a lot of settings, so I hope more knowledge is discovered and pushed out into the community.

Proxyagenda,

Which version of ASG you are having performance issues with? What is the hardware spec on that system.

V7.100 on recommended hardware seems very speedy for me and my users. What functions are you using for the HTTP Proxy? Are you using any other security modules (IPS/ Email filtering ect.)? How many packet filter rules do you have and how are they arranged? In advanced network settings do you have window scaling or spoofing  enabled? What dns forwarders are you using? Are you using any type of routing other than the default route?

Thanks for jumping in.

The hardware is a dual-core Pentium 925 box from Dell. That's two 3Ghz cores each with 2MB cache. And with 2GB ECC RAM and a 3ware 250GB RAID 1 drive.

It is not a CPU/memory usage issue as the CPU usage stays low (nominally 0-4%) unless one of the Astaro processes locks up and monopolizes one of the cores (which is happening now again, actually, the 'admin-reporter.' task is taking 95%+ of one core. Memory usage averages between 20% and 35%.

The 'admin-reporter.' process problem did not occur with 7.011, only with 7.100.

Also with 7.100 there is a funny message that pops up when I access the Web Security portion of Astaro. See the attached image.

I have the HTTP Proxy setup with dual AV, spyware scan, and a manual block list. My packet filter has a small number of rules, most of which allow me to check mail.

I also have a SOCKS5 proxy setup for use with BitTorrent.

IPS is turned on, Portscan on, Spoof is set to 'normal'. Spyware check set to on. Portscan has an exception for cases where the BitTorrent client machine is the source.

However, I will reiterate that the issue only occurs when there is traffic on the SOCKS5 proxy. That is when HTTP proxy/filter performance drops off dramatically. It makes me think that the resource allocation between the SOCKS5 proxy and the HTTP proxy is not being handled well.

Does what I say make sense? What other information would be of use in trying to find and fix this problem?

How many blacklist/whitelist urls do you have in your system? A large list might be causing the system to slow HTTP browsing.

How many blacklist/whitelist urls do you have in your system? A large list might be causing the system to slow HTTP browsing.