Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2767 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connection speed & Web filtering (transparent mode skip list)

aaronh
Hi,

I'm running UTM 9.312-8 and I'm having issues with the throughput speed. I think Web Filtering is to blame.

We've just upgraded a 20Mbit fiber connection to 50Mbit, after which it became apparent that connections through our UTM device would not reach those speeds. (connecting to the router/modem directly _will_ reach 50Mbit, it's not the fiber connection).

I've disabled anti-virus etc. And I tried disabling Web Filtering all together, but that just results in the UTM device blocking all connections because it can not find a profile (any clues on how to fully disable Web Filtering?)

Next thing I did was add my machine (or even the entire internal network) to the Transparent Mode Skiplist. This is where it gets odd, when I do that my connection speed *drops* by a few Mbit...!? I'll reach around 30Mbit without the Transparent Mode Skiplist, and around 20 to 25Mbit when my machine/network is added to the Transparent Mode Skiplist.

Am I doing something wrong? What can I do and/or check to get a better throughput, let's say around 50Mbit.

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    CPU is not maxing out. It's at 22%. RAM at 60%.
  • 0
    Oh, forgot to mention. Only HTTP connections are slow. Or, when I transfer using SFTP (scp) I do reach 50Mbit-ish speeds.
  • 0
    Which Hardware are you using ? And did you already tried the tweaking guide (Link in my signature) ?
  • 0
    The machine was installed before I got here by a company I can no longer reach. I've looked around via ssh and found this:

    I've got 4 Intel(R) Atom(TM) CPU N550   @ 1.50GHz procs.
    Memory:
    MemTotal:        2046184 kB
    MemFree:          108720 kB

    I'm not sure what specs I could share that matter. As I've said, the CPU and Mem don't get anywhere near 100%.

    And again, when I download something over a protocol UTM can not scan, like scp, I _do_ reach 50Mbit. I did manage to turn Web Filtering without running into errors about missing profiles, but it doesn't do anything to increase speed.

    I'll go through your Tweaking Guide.
  • 0
    GOT IT!

    Disabling Intrusion Prevention gives me full bandwidth! Awesome.

    Now to find out what Intrusion Prevention actually does that firewalling/iptables and NAT doesn't provide. I might need to enable it for some users/subnets.

    Edit: I don't have a DMZ or any public services running at the office. I think I'm fine leaving it off. Though I will look into the details of configuring it. Thanks again!
  • 0
    IPS(Snort is your oimitation which is also cuased by your cpu.  I ahve detailed this many times..search for my username and snort for hte details..[:)]  

    IN summary you need at least a core i-3 haswell for good future proofing and the haswell i-3's have excellent power ratings.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to aaronh
    Now to find out what Intrusion Prevention actually does that firewalling/iptables and NAT doesn't provide.
    Firewalls only work on Source-Port/Service-Destination combinations which you allow or deny traffic based on your needs. So you may allow Internal-HTTP(s)-Internet traffic but deny Internal-SMTP-Internet (no smtp email). NAT basically just hides IP addresses and isn't really a security measure, more just a way for your internal network to share a limited number of external IP addresses.

    IDS/IPS on the other hand, actually looks at the traffic flowing through the UTM and detects attacks on your protected devices. It's traditionally only been enabled for servers where public attacks are expected but it also can protect workstations against certain attacks. One example being certain flash based exploits. IPS can see the signature of an attack through a flash enabled website and shut the attack down.

    IPS is also a key component in the UTM's Advanced Threat Protection system and since v9.0 came out, I've been enabling it as there's been major improvements in the IPS system.
Unfiltered HTML