efw friert ein

Hallo,
auf welchen Schnitstellen hast du Snort in betrieb ?

gruß

Also das selbe Problem mit IDS habe ich auch bei der 2.3er

An unterdimensionierter Hardware liegt es sicher nicht (quadcore xeon bla bla.. (siehe myEFW forum))
IDS darf aktiv sein, jedoich bei den FW Policies kein ALLOW mit IDS,´. Danach ist ende Gelände.

Ich lasse es nun einfach aus bis evtl n fix kommt.

Auch ich habe das Problem, dass die EFW 2.3 Community immer wieder einfriert, ohne dass in den Logs brauchbare Informationen zu finden wären. Das System* hängt an einem Gateway zu einer T-Com-Standleitung per Ethernet mit fester IP.

Das IDS Snort habe ich bereits deaktiviert. Leider fror das System dennoch regelmässig nachts ein.

Die Netzwerkkarten hab ich zur Sicherheit einmal komplett getauscht.
Für den Uplink habe ich mal das Häkchen »Verwaltet« entfernt.
Für den DNS-Proxy habe ich die Einstellungen »Anti-Spyware« deaktivert, die wohl auch auf das Snort-Projekt zurückgehen.
Resultat: stabiles System für drei Tage.

Kaum hatte ich die Einstellung »Anti-Spyware« wieder aktiviert, fror das System wieder des nächtens ein – ohne sinnvolle Logeinträge gegen 3:30 Uhr (Update der Snort-DNS-Liste sollte lt. Webinterface gegen 1:25 Uhr erfolgen; einen Log-Eintrag dazu finde ich allerdings nicht.). Hat jemand ähnliche Erfahrungen gemacht?

Ich habe die o.g. Einstellung wieder deaktiviert und beobachte mal, ob jetzt alles stabil läuft.

--
*) Leider »nur« ein alter PIII/500 mit zwei NICs, 512 MB RAM und winziger Platte. Ein auf die Schnelle aufgesetztes Notfallsystem, nachdem eine andere FW-Appliance Totalschaden hatte.

Derzeit macht der alte PIII seine (wenigen) Aufgaben ansonsten ganz ausgezeichnet – denn viele der Funktionen, die die EFW bietet, werden (derzeit) dort überhaupt nicht benötig. Aber es war ein guter Anlass, sich die EFW mal genauer anzuschauen.

Alles, was da derzeit benötigt wird, ist NAT und FW, der DNS-Proxy und ein bisschen Squid/HAVP für zwei Windows-Plätze. Dafür langt das System vollkommen aus. Alles weitere schaue ich mir dann in ruhigen Minuten mal an, wenn sonst keiner mehr im Netz ist. Sollten dann mehr Dienste interessant werden, kann das System immer noch auf größere Hardware umziehen.

Das Einfrieren des Systems hat aber m.E. nichts damit zu tun, ob das System mit 500 MHz oder mehreren GHz arbeitet. Aktueller Stand übrigens: nach der Abschaltung der Einstellung »Anti-Spyware« hat das System die Nacht schon mal wieder überlebt.

Ich vermute mal, dass es für die Version 2.3.1 noch keinen Release-Zeitpunkt gibt, richtig? Nach dem, was ich hier bislang gelesen habe, ist die Community-Version mit Updates einzelner Pakete überhaupt nicht versorgt.

Offenbar ist die Kiste zwischenzeitlich wieder tot. Mehr kann ich leider erst am Montag vor Ort sagen, aber ich wundere mich schon, woran das liegen könnte. Wie schon gesagt, die Logs geben da bislang nichts her, Memtest übrigens auch ohne Fehler.

Ja, die Kiste steht dann komplett still. Kein https, kein ssh, kein ping, keine serielle Verbindung, nix. Fährt man die EFW wieder hoch (harter Reset), kann man in den Diagrammen z.B. für CPU-Auslastung für den entsprechenden Zeitraum ein Loch sehen.

Der PC ist vorher längere Zeit ohne Probleme als Arbeitplatz gelaufen, wurde dann aber aufgrund seiner Ausstattung dann doch endlich mal ausgemustert. Die Platte darin ist ebenfalls beinalt, 10 GB groß, aber zeigt aber auch via smartctl und badblocks keinerlei Probleme. Wie schon geschrieben: auch memtest zeigt bei den 512 MB RAM keine Auffälligkeiten.

Ich werde wohl am Montag Morgen auf das System probeweise mal IPfire 2.5 installieren und beobachten. Sollte es dort ähnliche Erscheinungen geben, würde ich doch die Hardware als Ursache sehen.

Nein, am BIOS war ich (ausser an den Startoptionen, Booten via CD) nicht weiter dran. Ich meine aber, dass die letzte BIOS-Version installiert sei. Außerdem würde ich glauben, dass BIOS-bedingte Probleme eher grundlegend seien und früher auftreten müssten. Aber ich werde das noch einmal prüfen – obwohl der PC als Arbeitsplatz ja vorher problemlos tat. Danke für den Tip.

»Virus Warning« ist dort im BIOS nicht vorhanden, meine ich. Schaue ich aber auch noch mal nach.
Wenn ich richtig informiert bin, würde das »Virus Warning«-Feature Schreibvorgänge in den Bootsektor und die Partitionstabelle verhindern oder zumindest melden, was allerdings die Installation der EFW schwierig gemacht hätte.