Posts by arminf

    Es ist schon komisch. Wenn die Box "nix" zu tun hat nimmt der WA state zu. Sobald ich kopiere, downloade, streame nimmt der Wert ab.
    Danach steigt er wieder..


    Die anderen Werte kommen von SNORT vermute ich. Bin immernoch der Meinung das der "Option Button" bei den Regeln nicht geht.
    SNORT is immer dabei auch wenn man nur "allow" einstellt. Also nur Anti Virus ohne SNORT IPS..


    Hier mal die CPU states
    right after reboot
    Cpu(s): 89.4%us, 10.1%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.2%hi, 0.3%si, 0.0%st
    Mem: 2067104k total, 325384k used, 1741720k free, 8112k buffers
    Swap: 524280k total, 0k used, 524280k free, 138320k cached
     Is klar ladet noch die services nach….


    top - 01:06:32 up 6 min, 1 user, load average: 3.14, 2.77, 1.32
    Tasks: 136 total, 1 running, 135 sleeping, 0 stopped, 0 zombie
    Cpu(s): 4.8%us, 1.8%sy, 0.0%ni, 3.8%id, 89.6%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 457144k used, 1609960k free, 9852k buffers
    Swap: 524280k total, 0k used, 524280k free, 117272k cached
     Hier kommt der ruhezustand
     WA tritt hier auf. 6 Minuten nachdem Neustart


    while copy green to green (SNORT enabled = 6 MB)
    top - 17:36:52 up 10 min, 1 user, load average: 6.38, 4.11, 2.17
    Tasks: 152 total, 3 running, 147 sleeping, 0 stopped, 2 zombie
    Cpu(s): 85.2%us, 7.0%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.5%hi, 7.3%si, 0.0%st
    Mem: 2067104k total, 476232k used, 1590872k free, 10676k buffers
    Swap: 524280k total, 0k used, 524280k free, 121944k cached



    right after copy
    top - 17:40:48 up 14 min, 1 user, load average: 2.95, 4.62, 2.91
    Tasks: 130 total, 1 running, 129 sleeping, 0 stopped, 0 zombie
    Cpu(s): 50.0%us, 1.0%sy, 0.0%ni, 37.7%id, 11.3%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 549624k used, 1517480k free, 11872k buffers
    Swap: 524280k total, 0k used, 524280k free, 125580k cached


    changing SNORT rule (deactivate TOR ruleset)
    top - 17:44:41 up 18 min, 1 user, load average: 1.72, 2.92, 2.58
    Tasks: 133 total, 5 running, 128 sleeping, 0 stopped, 0 zombie
    Cpu(s): 96.2%us, 3.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 455636k used, 1611468k free, 12568k buffers
    Swap: 524280k total, 0k used, 524280k free, 126116k cached
    Direkt am SNORT saven….


    After SNORT rule change and reboot while copy (42 MB)
    top - 18:00:52 up 10 min, 1 user, load average: 1.48, 1.69, 1.11
    Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie
    Cpu(s): 48.1%us, 1.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 1.5%hi, 48.6%si, 0.0%st
    Mem: 2067104k total, 437776k used, 1629328k free, 9816k buffers
    Swap: 524280k total, 0k used, 524280k free, 100832k cached
    Nachdem REBOOT der Box und der vorangegangenen SNORT Änderung
    42 MB wieder zurück


    Sollte morgen früh nicht mehr gehen wenn ich richtig liege…

    Also neue Erkenntniss


    Etwa 12 – 18 Stunden nach der Neuinstallation bricht bei mir das Netz wieder zusammen.
    Dann falle ich wieder von 42 MB auf 6 MB


    Reboot und SNORT neustarten hilft leider nicht. Proxy reboot/restart auch nicht.


    JEDOCH eine Regeländerung bei SNORT zum Beispiel ausschalten einer Regel und dann ein Neustart der Firewall bringt mir wieder die 42 MB zurück.


    Hex hex.. bibbi bloxberg box


    Hier mal die CPU states
    right after reboot
    Cpu(s): 89.4%us, 10.1%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.2%hi, 0.3%si, 0.0%st
    Mem: 2067104k total, 325384k used, 1741720k free, 8112k buffers
    Swap: 524280k total, 0k used, 524280k free, 138320k cached
     Is klar ladet noch die services nach….


    top - 01:06:32 up 6 min, 1 user, load average: 3.14, 2.77, 1.32
    Tasks: 136 total, 1 running, 135 sleeping, 0 stopped, 0 zombie
    Cpu(s): 4.8%us, 1.8%sy, 0.0%ni, 3.8%id, 89.6%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 457144k used, 1609960k free, 9852k buffers
    Swap: 524280k total, 0k used, 524280k free, 117272k cached
     Hier kommt der ruhezustand
     WA tritt hier auf. 6 Minuten nachdem Neustart


    while copy green to green (SNORT enabled = 6 MB)
    top - 17:36:52 up 10 min, 1 user, load average: 6.38, 4.11, 2.17
    Tasks: 152 total, 3 running, 147 sleeping, 0 stopped, 2 zombie
    Cpu(s): 85.2%us, 7.0%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.5%hi, 7.3%si, 0.0%st
    Mem: 2067104k total, 476232k used, 1590872k free, 10676k buffers
    Swap: 524280k total, 0k used, 524280k free, 121944k cached



    right after copy
    top - 17:40:48 up 14 min, 1 user, load average: 2.95, 4.62, 2.91
    Tasks: 130 total, 1 running, 129 sleeping, 0 stopped, 0 zombie
    Cpu(s): 50.0%us, 1.0%sy, 0.0%ni, 37.7%id, 11.3%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 549624k used, 1517480k free, 11872k buffers
    Swap: 524280k total, 0k used, 524280k free, 125580k cached


    changing SNORT rule (deactivate TOR ruleset)
    top - 17:44:41 up 18 min, 1 user, load average: 1.72, 2.92, 2.58
    Tasks: 133 total, 5 running, 128 sleeping, 0 stopped, 0 zombie
    Cpu(s): 96.2%us, 3.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 455636k used, 1611468k free, 12568k buffers
    Swap: 524280k total, 0k used, 524280k free, 126116k cached
     Direkt am SNORT saven….


    After SNORT rule change and reboot while copy (42 MB)
    top - 18:00:52 up 10 min, 1 user, load average: 1.48, 1.69, 1.11
    Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie
    Cpu(s): 48.1%us, 1.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 1.5%hi, 48.6%si, 0.0%st
    Mem: 2067104k total, 437776k used, 1629328k free, 9816k buffers
    Swap: 524280k total, 0k used, 524280k free, 100832k cached
     Nachdem REBOOT der Box und der vorangegangenen SNORT Änderung
     42 MB wieder zurück…


    Sollte morgen früh nicht mehr gehen wenn ich richtig liege…

    Hallo Zusammen


    muss zustimmen das sich die Last "etwas" legt. Dennoch ist der %WA sehr hoch.
    Denke jedoch nicht das es an der CPU liegt. WA deutet auf etwas anderes hin.


    CPU atom N270 HT - 2 GB RAM


    wa = iowaits -> vielelicht die Disk

    Ciao Sabine
    die Boxen heute geben mehr RAM her das sollte man nutzen.
    RAM ist der schnellere Baustein als die Disk. I/O würde es gewinnnen.
    CPU waitsates iowait würde drastisch sinken was die CPU wiederum entlastet.


    Wenn man die Rules und alles in den RAM ladet wird er danach nicht mehr steigen.
    Auch denke ich nicht das man mehr als 128 MB für die Regeln bräuchte. Das sollte jede Box hergeben.
    Wären auch bei Deinen freien 20% noch drinne ;-)


    Hatte bisher nicht mehr als 20-25% Aulastung.

    Habt Ihr was zu dem 100% CPU herausgefunden?


    SNORT reagiert bei mir komisch wenn ich Rules aktiviere/deaktiviere.
    Zusammenbruch des internen Netzes auf 6 MB anstatt satte 45 MB.


    Von draussen bekomme ich meine 20 Mbit. Das spielt auch keine Rolle.
    Nur nutze ich die Green ENdian Bridge als Switch da ich 6 Ports habe.
    Dort wird anscheinend SNORT nicht abgeschalten. Auch wenn man es in der Option einstellt.


    CPU bleibt hoch...

    Hallo Zusammen


    SNORT bringt ja so einiges an Regeln mit.
    Wie bekomme ich die welche ich nicht brauche den weg?


    Man kann diese deaktiveren aber beim löschen werden diese wieder eingespielt.


    SNORT braucht je mehr Regeln mehr CPU
    Also wenn man nur die Hälfte der Angriffsfläche bieten kann man sich CPU Kraft sparen was Netzwerkdurchsatz steigert.


    Wer keinen Webserver betreibt braucht die Rules nicht
    Gleiches für SIP, VOIP und andere. Das mindert SNORT gleich mal um ein paar tausend Regeln welche man nicht scannen muss.


    Wie seht Ihr das?
    Danke

    Meine FIrewall Box kommt mir 2048 MB daher.


    Endian nutz meistens um die 17%.


    Kann man sowas erhöhen? DIe SNORT regeln oder so cachen, plus die AV sets auch gleich.
    SO das möglichst alles im RAM abgehandelt wird.
    17% scheint mir ein wenig zu wenig...

    Hallo Zusammen


    wenn ich auf der FW per SSH den BEfehl "Top" absetze zeigt er mir das der
    CPU State "wa%" immer über 85% liegt.
    Das spiegelt sich im Dashboard mit CPU 80-100% wieder.


    Könnte das an der LVM der DIsk liegen?

    Hallo Zusammen


    Jede FW Regel kann man mit "allow" und "allow with IPS" setzen.


    Bei mir scheint diese Option IMMER mit IPS zu laufen.
    Ergebnis
    InterZone traffic Green zu Green = 6 MB
    Wenn ich IPS komplett abschalte 60 MB


    Zudem bekomme ich durch SNORT eine sehr hohe CPU last.
    CPU wa state liegt bei +85%


    Endian 2,4
    Lanner FW7530 box

    Hallo
    ich vermute das es von den SNORT IDS Rules kommt.
    Check mal ob der Proxy auch FTP scanning macht.
    Bei 2.3 kann man das leider nicht abschalten da wird überall auf allen Ports mit Snort gescannt.
    DIe interzone FW kann man da komplett abschalten macht aber wenig sinn.


    Bei 2.4 denke ich das es behoben ist.