Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 44950 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Much slower IPS performance in 9.1x

BarryG
Hi,

I just up2date'd from 9.006 to 9.105, and I'm seeing much lower throughput.

PreviouslyI was getting 65mbps from LAN->DMZ, and was easily able to max out my FiOS Internet connection (25mbps down).

Those tests were on 7.509, but I was still easily maxing out my 25mbps connection on 9.0x.

However, after the up2date to 9.105, I am now only getting 16mbps. 'top' and 'htop' show a snort thread using 97% of the CPU.

The CPU is an Atom n270 (single core + HT). 
RAM is 2GB; 


This thread was automatically locked due to age.
  • 0
    I hope there is a simpler fix for this, but I've added a feature request to allow finer Attack Pattern selections at
    Increase Attack Patterns selections in IPS settings

    Barry
  • 0
    I think something more is going on than just the increase in rule count... I disabled most of the Attack Pattern groups; now at 505 of 17390 patterns, and CPU usage is 88% at 24mbps down and 25% at 6mbps up.

    (This is an improvement in throughput, but it doesn't look like I'll be able to hit 65mbps like I was able to before (and I had 5386 rules active before).)

    Barry
  • 0
    None of my clients has anything faster than 10Mbps, so I'm not seeing this.  Hopefully, someone with a fast connection will see this issue and get Sophos Support involved.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi,

    At the moment, I'm copying a large mkv file from my LAN to a DMZ with Windows SMB/CIFS, and am only getting 4-5mbps.
    I get 30mbps+ on the same LAN with the same hard drives.

    If I stop the IPS, it jumps to 17mbps.

    Note this is with Intel NICs and the Atom n270 CPU, and I'm on 9.016-017 now.

    Barry
  • 0
    Barry,

    Were those performance numbers on the same Atom N270 or something different?

    Personal Observation but I've found I could bring the N330 (and the the D510/525) to it's knees running IPS on a 15Mbps connection with v8. And that's with a properly tuned set of rules enabled. I won't even bother running v9 on an Atom if I need anything more then basic firewalling with maybe a S2S VPN tunnel or two. The two atom based boards I did run at home are now relegated to less important tasks and the last of the 120's we have in remote branches are now replaced with Essentials edition VM's and RED10's.
  • 0
    Hi, yes, all of my posts in this thread are regarding my home firewall with the n270 Atom.

    Barry
  • 0
    Hi Barry
    I have a 100Mb pipe and have had a lot of what I call "Performance Issues" Since version 8.
    Most of those have been solved by only allowing one instance of the IPS to run. For a single Home user (Maybe a heavy power user) I can cripple my box (with default/recommended settings) with a couple of downloads, and if you take into account the hardware it's running on it is sad.
  • 0 in reply to Mark_D_01
    Hello,

    sound interesting, but how can i edit to allow only 1 instance?

    Thx in advance,

    Manuel
  • 0 in reply to ManuelKarl
    Hello,

    sound interesting, but how can i edit to allow only 1 instance?

    Thx in advance,

    Manuel


    cc set ips num_instances 1
      

    Command has to be entered through the shell as root

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • 0 in reply to apijnappels
    Does this only make sense with just one user?
    How 2 do when 2 or 3 users are active?

    Each user needs one instance?

    Sorry, my box is a Intel Celeron 867 (2x 1.3GHz) with 8GB of RAM.
    The Subnets are all vlan's.

    Thx,

    Manuel
Unfiltered HTML