Thread Info
  • State Not Answered
  • Replies 11 replies
  • Subscribers 0 subscribers
  • Views 4583 views
  • Users 0 members are here
Options
Suggested

Port 119 traffic blocked (slow download)

TheMarf
Hi

I'am New to the board, and i am using the UTM 9 (free) for some time now, but now i run in to à problem
I have à software applience on à HP Proliant DL360 G5
The problem is that when i want to download from à newsgroup server on the Service NNTP (119), the speed is coming to à standstill or is drastically low.
On the config site i have the NNTP (119) in the default internal <> external masquerading 
Is there any way to solve this problem, i have searched on Google and i think it has something to do with IPS but I'm not sure. Can someone help me ?


Greets TheMarf
  • 0
    [QUOTE="TheMarf"]Hi

    I'am New to the board, and i am using the UTM 9 (free) for some time now, but now i run in to à problem
    The problem is that when i want to download from à newsgroup server on the Service NNTP (119), the speed is coming to à standstill or is drastically low.
    On the config site i have the NNTP (119) in the default internal <> external masquerading
    Is there any way to solve this problem, i have searched on Google and i think it has something to do with IPS but I'm not sure. Can someone help me ?
  • 0
    Dear Barry

    Thanks for your respons.

    I have looked at the firewall packet filter, and there is indeed a drop given to the port 119, but that is in firewall rule 60001 and 60002, as you can see below.
    What is rule 60001 and 60002, I can not find it in the firewall rules is it possible that it is the IPS rule?

    2012:11:28-04:57:48 STMMFIW01 ulogd[4303]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="c4:71:fe:73:39[:D]9" dstmac="0:1f:29:9:5e:74" srcip="81.171.64.100" dstip="83.128.32.88" proto="6" length="60" tos="0x00" prec="0x00" ttl="60" srcport="119" dstport="35041" tcpflags="ACK SYN" 

    2012:11:28-01:43:37 STMMFIW01 ulogd[4303]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="eth0" srcmac="0:11:85:ba:6d:88" dstmac="0:1f:29:9:5e:6e" srcip="192.168.5.45" dstip="81.171.64.100" proto="6" length="101" tos="0x00" prec="0x00" ttl="63" srcport="43108" dstport="119" tcpflags="ACK PSH"

    Unfortunately I can not look in the IPS log file because it is empty, even I can not adjust the settings. the IPS is grayout, and I can not make changes to it, But it is active globally.

    Greets TheMarf
  • 0
    Hi, 

    Rules starting with 60000 are the Default Drop rules built-in to Astaro.

    ACK SYN and ACK PSH packets can be ignored; they are normally from expired connections.

    If you download the IPS log, it's empty, right?

    I don't know why the IPS would be greyed out; what kind of license are you using?

    Barry
  • 0
    Hi,

    The IPS log is indeed empty and I can not download it, I can open the live log, but there is nothing happening in it
    I have the standard license (Subscriptions: Base Functionality, Endpoint AntiVirus)

    I have the software downloaded and installed on an HP Proliant DL380 G5
    And I have done nothing further, I think it is the FREE license that I have
    I dont know if the IPS is in the free license.

    I want to upgrade but I do not know what it costs, I have a private data center with 10 servers.

    TheMarf
  • 0
    OK... if you don't have the Network Security subscription, there will be no IPS.

    You'll need to find a reseller for pricing.
    Locate a Partner

    I'm still not sure why your NNTP traffic is slow. Maybe you should do a packet capture and look at it with WireShark.

    Barry
  • 0
    Hi Barry,

    Sorry for the late response, but I am very busy at work to the problem. But it does not really work, I want to be sure that it is not a problem on the server.
    I will tomorrow and the day after running tests to rule out some things, if that's completed, I will inform you. This is because I can not imagine that the problem with the IPS. But the speed is still low, there are no more ports blocked for 119 in the firewall log anymore.

    Greets TheMarf
  • 0
    Hi,

    1. Try a large HTTP or FTP transfer and see how the performance is.

    2. Have you bypassed the firewall to make sure it isn't the NNTP server or network that is slow?

    3. please post your graphs from Reporting-Hardware; I want to see if your CPU, RAM, or SWAP usage are high.

    Barry
  • 0
    Hi,

    My network running on a Cisco 3750 on a full 1000MBits / s

    1. Try a large HTTP or FTP transfer and see how the performance is.
    ( An HTTP test was 100% success 6.9 Mb / s, and my ISP is 50 Mbit / s, so that's good)

    2. Have you bypassed the firewall to make sure it isn't the NNTP server or network that is slow?
    ( A bypass, I can not run because I have to wait an hour on a Mac release of the ISP.
    And then, my customers are without service for more than 2 hours. )

    3. please post your graphs from Reporting-Hardware; I want to see if your CPU, RAM, or SWAP usage are high.
    (I have some screenshots below of the hardware and the download. )
  • 0
    Hi, 
    I don't see anything wrong; it may be the NNTP server that is slow.
    Can you try another NNTP server?

    Barry
Unfiltered HTML