Firewall Option "allow" vs. "allow with IPS"

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Firewall Option "allow" vs. "allow with IPS"

    Hallo Zusammen

    Jede FW Regel kann man mit "allow" und "allow with IPS" setzen.

    Bei mir scheint diese Option IMMER mit IPS zu laufen.
    Ergebnis
    InterZone traffic Green zu Green = 6 MB
    Wenn ich IPS komplett abschalte 60 MB

    Zudem bekomme ich durch SNORT eine sehr hohe CPU last.
    CPU wa state liegt bei +85%

    Endian 2,4
    Lanner FW7530 box
  • Re: Firewall Option "allow" vs. "allow with IPS"

    Also neue Erkenntniss

    Etwa 12 – 18 Stunden nach der Neuinstallation bricht bei mir das Netz wieder zusammen.
    Dann falle ich wieder von 42 MB auf 6 MB

    Reboot und SNORT neustarten hilft leider nicht. Proxy reboot/restart auch nicht.

    JEDOCH eine Regeländerung bei SNORT zum Beispiel ausschalten einer Regel und dann ein Neustart der Firewall bringt mir wieder die 42 MB zurück.

    Hex hex.. bibbi bloxberg box

    Hier mal die CPU states
    right after reboot
    Cpu(s): 89.4%us, 10.1%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.2%hi, 0.3%si, 0.0%st
    Mem: 2067104k total, 325384k used, 1741720k free, 8112k buffers
    Swap: 524280k total, 0k used, 524280k free, 138320k cached
     Is klar ladet noch die services nach….

    top - 01:06:32 up 6 min, 1 user, load average: 3.14, 2.77, 1.32
    Tasks: 136 total, 1 running, 135 sleeping, 0 stopped, 0 zombie
    Cpu(s): 4.8%us, 1.8%sy, 0.0%ni, 3.8%id, 89.6%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 457144k used, 1609960k free, 9852k buffers
    Swap: 524280k total, 0k used, 524280k free, 117272k cached
     Hier kommt der ruhezustand
     WA tritt hier auf. 6 Minuten nachdem Neustart

    while copy green to green (SNORT enabled = 6 MB)
    top - 17:36:52 up 10 min, 1 user, load average: 6.38, 4.11, 2.17
    Tasks: 152 total, 3 running, 147 sleeping, 0 stopped, 2 zombie
    Cpu(s): 85.2%us, 7.0%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.5%hi, 7.3%si, 0.0%st
    Mem: 2067104k total, 476232k used, 1590872k free, 10676k buffers
    Swap: 524280k total, 0k used, 524280k free, 121944k cached


    right after copy
    top - 17:40:48 up 14 min, 1 user, load average: 2.95, 4.62, 2.91
    Tasks: 130 total, 1 running, 129 sleeping, 0 stopped, 0 zombie
    Cpu(s): 50.0%us, 1.0%sy, 0.0%ni, 37.7%id, 11.3%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 549624k used, 1517480k free, 11872k buffers
    Swap: 524280k total, 0k used, 524280k free, 125580k cached

    changing SNORT rule (deactivate TOR ruleset)
    top - 17:44:41 up 18 min, 1 user, load average: 1.72, 2.92, 2.58
    Tasks: 133 total, 5 running, 128 sleeping, 0 stopped, 0 zombie
    Cpu(s): 96.2%us, 3.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 2067104k total, 455636k used, 1611468k free, 12568k buffers
    Swap: 524280k total, 0k used, 524280k free, 126116k cached
     Direkt am SNORT saven….

    After SNORT rule change and reboot while copy (42 MB)
    top - 18:00:52 up 10 min, 1 user, load average: 1.48, 1.69, 1.11
    Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie
    Cpu(s): 48.1%us, 1.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 1.5%hi, 48.6%si, 0.0%st
    Mem: 2067104k total, 437776k used, 1629328k free, 9816k buffers
    Swap: 524280k total, 0k used, 524280k free, 100832k cached
     Nachdem REBOOT der Box und der vorangegangenen SNORT Änderung
     42 MB wieder zurück…

    Sollte morgen früh nicht mehr gehen wenn ich richtig liege…