Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 5 replies
  • Subscribers 4 subscribers
  • Views 2936 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Doppelte Requests des Proxys (nach 5 Minuten)

Christian Klemm

Hallo zusammen, 

wir betreiben eine Web-Application in Internet und wurden auf ein seltsames Verhalten von einem unserer Kunden aufmerksam gemacht.

Der Kunde besitzt eine Sophos UTM Firewall (Typ unbekannt) und nutzt diese auch als Proxy um ins Internet zu gelangen. Wenn der Kunde einen Prozess in der Web-Application startet der eine sehr lange Abarbeitungszeit hat (über 5 Minuten) sehen wir in den Logs unseres Reverse-Proxys, dass der gleiche Request des Kunden exakt 5 Minuten nach dem 1. Versuch erneut geschickt wird, dies führt zur doppelten Abarbeitung (weil der erste Prozess noch läuft) in unserer Web-Anwendung.

 

Wir konnten dieses Phänomen reproduzieren, da wir ebenfalls eine Sophos UTM (SG125) als Proxy einsetzen und konnten auch feststellen, dass diese doppelten Requests nicht kommen, wenn man den gleichen Prozess ohne eine Sophos macht z.B. über Handy (UMTS/LTE).
Für mich sieht es aus, als würde die Sophos den Request nochmal verschickt, wenn sie keine Antwort vom Webserver innerhalb von 5 Minuten bekommt.

Kann es sein, dass dieses Verhalten von der Sophos UTM gewollt ist? Kann man diesen Retry-Intervall (oder Timeout) irgendwo einsehen bzw. einstellen.

 

Gruß Christian



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Christian,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Please show a picture of the 'Miscellaneous Settings' section at the top of the 'Misc' tab.  Also, show the Web Filtering log lines, if any are related, when the doubled request was received.

    The only 5-minute timeout I know of is for the connection tracker.  Just as an experiment, temporarily change it to 15 minutes and see if you get the doubled request.  As root at the command line:

    cc set packetfilter timeouts ip_conntrack_tcp_timeout_max_retrans 900

    That setting remains after a reboot, so you must set it back to 300 when done testing.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo zusammen,

    unter anderem wegen dem oben genannten Problem habe ich mich in der community angemeldet. Gibt es nun einen anderen Lösungsansatz, oder Neuigkeiten zu diesem Problem, als den conntrack-timeout zu erhöhen?

Reply Children
  • 0 in reply to Arnd Hellwig

    Hallo Arnd,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    My suggestion above isn't a workaround.  It's meant to demonstrate that the problem is indeed the webserver.

    What are you doing when you see this problem and where are the client and server relative to the UTM?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    folgende Konstellation:

    client -> UTM (9.605) -> Internet -> Server Webanwendung

    Nach den genannten 5 Minuten wird erneut ein request vom Server empfangen eine Datenbankanwendung

    zu starten. So startet alle 5 Minuten ein neuer Datenbankprozess.

    Das Problem tritt bei allen unserer Server auf, aktuell behelfen wir uns mit der Initialisierung der Prozesse über Remoteserver.

    Zur Zeit sind nur der FTP Verbindungshelfer und die TCP Fensterskalierung aktiviert.

    MfG

    Arnd

  • 0 in reply to Arnd Hellwig

    I would first suggest that the client skip the HTTP/S Proxy on their side.  If the problem persists, have traffic from them skip Web Server Security by using a DNAT as it will grab their traffic first.  Did either of those help?  If not, then maybe there's a way for the server to say "I'm working on your request" every few minutes as a "keep-alive" for the connection.

    Any luck with any of that?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML