Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 6805 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

504 errors and Block actions when Web Filtering On...

mrwebguy
I have an error that is creeping up that I took all the way to engineering  at AT&T's IP-Flex support department that I can't seem to figure out.

Some sites, like slashdot.org, foxnews.com, aol.com, msn.com, and others pop a 502 error in the Live log on web filtering with a block action like this: 
2012:12:28-07:00:14 asg1 httpproxy[12302]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.10.1" dstip="216.34.181.45" user="" statuscode="504" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2523" request="0x1203c998" url="slashdot.org/.../html"


I attached a screenshot of the error in the browser as well.

If I add the source IP to the transparent mode skip list, all is good in the world the sites load with no problem.  I turn it back on and the errors come back.  

AT&T did some captures and determined that they aren't blocking anything and even went as far as removing the access list in their router as a troubleshooting measure to see if it changed.  

What is occurring that could maybe cause this?  The circuit is a dual T1 and both circuits are clean on their end.  

The only catalyst I can see here is Web Protection being enabled.

Anyone have any insight?

I'm running UTM 9.004-34. 

Thanks for the help in advance!


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the responses Bruce and Bob.  I tracerouted slashdot this morning and it was 13 hops.  It didn't seem overly ridiculous but each hop did respond.  55ms was the highest time on one hope that I can remember from then.

    I thought about errors or carrier issues so I had already checked that.  When we switched to them, we were having carrier errors (flapping) and matching up the duplex eradicated that as you said.  This 

    Here's the eth1 ifconfig: 

    asg1:/home/login # ifconfig eth1

    eth1      Link encap:Ethernet  HWaddr 00:1A:8C:12:3F:0D

              inet addr:XX.XX.XX.XX  Bcast:XX.XX.XX.XX  Mask:255.255.255.240

              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

              RX packets:372265 errors:0 dropped:0 overruns:0 frame:0

              TX packets:458063 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:1000

              RX bytes:111225366 (106.0 Mb)  TX bytes:108014066 (103.0 Mb)

              Interrupt:18 Memory:feae0000-feb00000

    For giggles I pulled an ethtool on it: 

    asg1:/home/login # ethtool eth1

    Settings for eth1:

            Supported ports: [ TP ]

            Supported link modes:   10baseT/Half 10baseT/Full

                                    100baseT/Half 100baseT/Full

                                    1000baseT/Full

            Supported pause frame use: No

            Supports auto-negotiation: Yes

            Advertised link modes:  1000baseT/Full

            Advertised pause frame use: No

            Advertised auto-negotiation: Yes

            Speed: 1000Mb/s

            Duplex: Full

            Port: Twisted Pair

            PHYAD: 1

            Transceiver: internal

            Auto-negotiation: on

            MDI-X: off

            Supports Wake-on: pumbg

            Wake-on: g

            Current message level: 0x00000007 (7)

                                   drv probe link

            Link detected: yes


    I even had AT&T go as far temporarily removing the access list and they did a dump of me trying to pull that site and found they were only blocking one thing, some traffic on port 5060 from the outside trying to get in.  

    Bob, I thought about the antivirus setting so I turned it off and ran the tests again and found that the header of the page would load but anything below that would fail.

    I ran: 

    cat http.log |grep -c Timeout

    and got 1050

    

    cat http.log |grep -c 502

    and got 339


    If I have to add a ton sites to the skiplist, anyone have a quick grep method to get a unique list out of that?  My grep "fu" is a little weak.

    Is this a bug?  It was failing before upgrade to UTM 9 as well (8.306+).
Reply
  • 0
    Thanks for the responses Bruce and Bob.  I tracerouted slashdot this morning and it was 13 hops.  It didn't seem overly ridiculous but each hop did respond.  55ms was the highest time on one hope that I can remember from then.

    I thought about errors or carrier issues so I had already checked that.  When we switched to them, we were having carrier errors (flapping) and matching up the duplex eradicated that as you said.  This 

    Here's the eth1 ifconfig: 

    asg1:/home/login # ifconfig eth1

    eth1      Link encap:Ethernet  HWaddr 00:1A:8C:12:3F:0D

              inet addr:XX.XX.XX.XX  Bcast:XX.XX.XX.XX  Mask:255.255.255.240

              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

              RX packets:372265 errors:0 dropped:0 overruns:0 frame:0

              TX packets:458063 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:1000

              RX bytes:111225366 (106.0 Mb)  TX bytes:108014066 (103.0 Mb)

              Interrupt:18 Memory:feae0000-feb00000

    For giggles I pulled an ethtool on it: 

    asg1:/home/login # ethtool eth1

    Settings for eth1:

            Supported ports: [ TP ]

            Supported link modes:   10baseT/Half 10baseT/Full

                                    100baseT/Half 100baseT/Full

                                    1000baseT/Full

            Supported pause frame use: No

            Supports auto-negotiation: Yes

            Advertised link modes:  1000baseT/Full

            Advertised pause frame use: No

            Advertised auto-negotiation: Yes

            Speed: 1000Mb/s

            Duplex: Full

            Port: Twisted Pair

            PHYAD: 1

            Transceiver: internal

            Auto-negotiation: on

            MDI-X: off

            Supports Wake-on: pumbg

            Wake-on: g

            Current message level: 0x00000007 (7)

                                   drv probe link

            Link detected: yes


    I even had AT&T go as far temporarily removing the access list and they did a dump of me trying to pull that site and found they were only blocking one thing, some traffic on port 5060 from the outside trying to get in.  

    Bob, I thought about the antivirus setting so I turned it off and ran the tests again and found that the header of the page would load but anything below that would fail.

    I ran: 

    cat http.log |grep -c Timeout

    and got 1050

    

    cat http.log |grep -c 502

    and got 339


    If I have to add a ton sites to the skiplist, anyone have a quick grep method to get a unique list out of that?  My grep "fu" is a little weak.

    Is this a bug?  It was failing before upgrade to UTM 9 as well (8.306+).
Children
No Data