Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 26967 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS: Edit snort.conf

daniel_sun
Hi all,

I have a software appliance (now: UTM 9.104-17, before: ASG 8...). This error:
S5: Session exceeded configured max bytes to queue 1048576 using 1049100 bytes (client queue)
continues now since version 8 of the firewall and I had to disable IPS from time to time, because large downloads was always interrupted. Now on holidays I have the time to resolve that issue, but I don´t know how to edit astaro conf files via shell. In this case it´s /etc/snort/snort.conf. I want to edit the "MAX_QUEUED_BYTES" parameter to a higher value. But everytime i was editing the file and restart IPS the conf file is as before. I looked at /etc/sysconfig/snort but this file seems the wrong one...Can anybody tell me how to edit this file so my new value stays there, even after restarting?
to which value would you change the parameter? Now it´s 1048576 and I would change that to 3145728, is this enough or to much?
I only have a home license so the support can´t help me...

My Hardware:
Intel Atom 1,6 Ghz
4 GB Ram
2x NICs

Thanks for your help!
- daniel


This thread was automatically locked due to age.
Parents
  • 0
    ok thanks, this time it worked! 
    I set it to the max. value of 1073741824 and it seems working now. Large file downloads (I took an iso file from an opensuse mirror) are now possible, but only if I disable all rules...but as far as I can see, thats a problem with some rule:

    2013:08:08-22:49:37 astaro snort[12479]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER Multiple products ZIP archive virus detection bypass attempt" group="500" srcip="***.XX.XX.XX" dstip="192.168.1.106" proto="6" srcport="80" dstport="61199" sid="26989" class="Potentially Bad Traffic" priority="2"  generator="1" msgid="0"

    This happens everytime I download the iso and 390 mb are downloaded.^^

    - daniel

    ps. In the logfile the old entry:
    S5: Session exceeded configured max bytes to queue...
    is still there but with the new size that i set with the cc command...and downloading works!
Reply
  • 0
    ok thanks, this time it worked! 
    I set it to the max. value of 1073741824 and it seems working now. Large file downloads (I took an iso file from an opensuse mirror) are now possible, but only if I disable all rules...but as far as I can see, thats a problem with some rule:

    2013:08:08-22:49:37 astaro snort[12479]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER Multiple products ZIP archive virus detection bypass attempt" group="500" srcip="***.XX.XX.XX" dstip="192.168.1.106" proto="6" srcport="80" dstport="61199" sid="26989" class="Potentially Bad Traffic" priority="2"  generator="1" msgid="0"

    This happens everytime I download the iso and 390 mb are downloaded.^^

    - daniel

    ps. In the logfile the old entry:
    S5: Session exceeded configured max bytes to queue...
    is still there but with the new size that i set with the cc command...and downloading works!
Children
No Data
Unfiltered HTML