Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 8598 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Broken filtering antivirus scanning?

watnemoe1@comcast.net
I keep a tight firewall, using dual scan engine for web filtering. However this morning when I went to download applications, the proxy no longer intercepted the download and did a virus scan. Is this just me or has anyone else seen this problem today?


This thread was automatically locked due to age.
  • 0
    what kind of application and what is the size of the download?
  • 0
    and what is the scan size set to in the proxy?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    these are executables at around 15 meg. I have my virus scan proxy size max set at 9999. As a side note, it broke after the applying patch to 7.503. The proxy no longer intercepts any downloads that it used to. While I also download iso files that are larger than the set size for the scan engine, the proxy would still handle the downloading of that file. That also no longer work. 

    The content side works fine. It blocks the categories that I have specified
  • 0
    The proxy isn't going to cache anything larger than 4K and all traffic goes through it whether it gets scanned or not.  9999?  do you have that much in ram at least?  Considering Astaro right now can't address more than 4 gigs this is going to cause issues.  Set your scan limit to something reasonable(like less than 25% of your installed physical ram) then restart the box.  See if that helps.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Ok after dopping it down to 500 meg, still no capture from the proxy. The other thing I was seeing before and as well as now, downloads and web pages just time out. When I turn the proxy off, everything works again. This was even after dropping the size down to 500 and doing a restart
  • 0
    again..how much ram is in the box? actually what are the full stats of the box?  If it's a weak system then it's your machine.  before we go further we need the stats on the box..look at my sig for an example of the kind of stats we need.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Also, please show the relevant lines from the 'Content Filter (HTTP)' log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The box is an i5 processor with 8 gig of memory with a 500 gig hard drive.
    I did a download from tucows to show the behavior of the proxy. The file was a 2 meg file


    url="ad.foxnetworks.com/imp
    2010:02:22-14:33:35 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="126 ms" request="0xa4462368" url="ad.foxnetworks.com/imp
    2010:02:22-14:33:35 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="147" time="66 ms" request="0xa4462b10" url="www.tucows.com/.../ondownload.php
    2010:02:22-14:33:35 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="35" time="104 ms" request="0xa4296700" url="www.google-analytics.com/__utm.gif
    2010:02:22-14:33:36 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="359" time="61 ms" request="0xa4462b10" url="www.tucows.com/.../html"
    2010:02:22-14:33:36 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="221 ms" request="0xa4462b10" url="www.tucows.com/autodownload.html
    2010:02:22-14:33:44 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="663" time="515 ms" request="0xa4400e08" url="www.qtl.co.il/.../png"
    2010:02:22-14:33:44 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="20360" time="733 ms" request="0xa4400708" url="www.google.com/dictionary
    2010:02:22-14:33:45 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="25214" time="874 ms" request="0xa44d1458" url="www.babylon.com/.../x-icon"
    2010:02:22-14:33:45 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.20" user="" statuscode="204" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="272 ms" request="0xa44c5aa0" url="csi.gstatic.com/csi
    2010:02:22-14:34:05 nyx httpproxy[8691]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="POST" srcip="192.168.1.20" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4943" time="1710 ms" request="0xa4462b10" url="api.facebook.com/.../json"
  • 0
    first of all Astaro can only use 4 gigs max(really about 3.5 with the 32 bit wraparound effects).  So I would remove 4 gigs until v8 officially comes out.  Secondly 500 megs is a bit excessive..I would go down to anything below 100 megs(with 25 being a good average).  Also head to my it's time to solve the http proxy thread and state exactly how you ahve dns in the Astaro and how you have dns on your server.  Need to know the chain(read my initial post for an example).  also since apges are timing out try doing a trace to cff1.astaro.com and see if it resolves..if it doesn you'll get pings back.  That'll let us know it isn't dns perse.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    It resolved out to the IP, but during the trace it sits on one of the Open DNS servers ([208.69.36.132]) and never makes a connection to astaro. (I use Open DNS versus the unreliable Comcast DNS servers).

    I did a search for your original post but I couldn't find it.

    Yes, I do realize the box is a tad excessive, but I knew I was going to tax the box harder than normal [:)]