Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1558 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet switching slow when http proxy running

mbrancaleoni
Hi,

I've noticed random packet loss or dig delay in simple packet routing to/from the firewall. Analyzing it happens always when the http proxy is servicing a lot of content (cpu at 30% on a dualcore Xeon 5110  @ 1.60GHz).

Turning off dual scanning makes the things running better seems.

Anyone else noticed that?
Imho any userspace application not taking 100% of cpu should not break lower layer of packet switching (with nat etc etc)...

mat


This thread was automatically locked due to age.
Parents
  • 0
    What version of Astaro?
    What kind of NICs?
    Is RAM and SWAP usage OK? (not swapping much)

    Barry
  • 0 in reply to BarryG
    Hi,

    yes sorry, I forgot to mention the version and details.

    The system is ASL 7.101 , running on a hp DL140 server, with a single dualcore Xeon 5110 @ 1.60GHz.

    The system has 3Gb of ram, swap is never used.

    The nics are the HP server embedded nics:
    2 x Broadcom Corporation NetXtreme BCM5721 Gigabit Ethernet PCI Express (rev 11)

    Mind that we have a 100 users license, but really the people browsing are only 20.
    From time to time some workstation (linux boxes) do updates via yum/apt so
    the proxy is heavily loaded.

    Our internet connection is a symmetric 10mbits pipe.

    Mat

    P.S.
    The issue happens also with single scan.
    Right now I disabled virus scanning on the http proxy and everything runs smoothly.
  • 0 in reply to mbrancaleoni
    Considering how few people will be on this forum for the next several days, I'd recommend opening a support ticket with Astaro or your reseller.

    One thing you might check though is to be sure that Astaro is using both CPUs...
    cat /proc/cpuinfo
    should list CPUs 0 & 1.

    Barry
  • 0 in reply to BarryG
    do you have anti-virus on? if so try turning it off completely. It's a huge performance sucker and it's effectiveness is questionable.(ZD did a comparison of various UTM's and most of them had bad performance when a/v scanning was on). I have also never had http a/v catch anything in the 3 years i have deployed it in various flavors.  If you have desktop a/v deployed and you keep it updated firewall http a/v scanning is questionable in terms of performance and effectiveness anyway.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0 in reply to BarryG
    do you have anti-virus on? if so try turning it off completely. It's a huge performance sucker and it's effectiveness is questionable.(ZD did a comparison of various UTM's and most of them had bad performance when a/v scanning was on). I have also never had http a/v catch anything in the 3 years i have deployed it in various flavors.  If you have desktop a/v deployed and you keep it updated firewall http a/v scanning is questionable in terms of performance and effectiveness anyway.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
  • 0 in reply to William Warren
    Hi,

    do you have anti-virus on? if so try turning it off completely. It's a huge performance sucker and it's effectiveness is questionable.(ZD did a comparison of various UTM's and most of them had bad performance when a/v scanning was on). I have also never had http a/v catch anything in the 3 years i have deployed it in various flavors.  If you have desktop a/v deployed and you keep it updated firewall http a/v scanning is questionable in terms of performance and effectiveness anyway.


    with http a/v off, ASL works ok.
    To be honest, I always have updated desktop avir on all clients,
    but has happened several times that ASL blocked infected content (mostly from personal webmails), so I prefer to have it :/

    Also, I cannot trust 100% that users keep the desktop avir updated, so I prefer to trust the network I can control.

    the funny thing, is that latest ASL 6.x with http a/v worked like a charm even under load...

    best regards,
    Mat