pfSense Gold Subscription

Author Topic: Suricata и 1gbps  (Read 168 times)

0 Members and 1 Guest are viewing this topic.

Offline borg

  • Jr. Member
  • **
  • Posts: 62
  • Karma: +13/-0
    • View Profile
Suricata и 1gbps
« on: December 16, 2017, 05:19:28 am »
Здравствуйте. На днях поставил гигабитку и выяснил что суриката на 2.3.4-RELEASE (amd64) на VM  начинает дропать пакеты и сбрасывать скорость примерно на половину, а то и больше. На 100 мегабитах все нормально. Выделил Intel(R) Xeon(R) CPU E5620 @ 2.40GHz 4 CPUs: 2 package(s) x 2 core(s) и 8гб озу, цпу прямо таки уничтожается сурикатой, больше добавлять не пробовал, оставил только в sid-enable.conf emerging-scan.rules и в dropsid.conf emerging-scan.rules pcre:"pcre:balanced-ips\s*drop". Сталкивался ли кто нибудь с настройкой сурикаты под гигабит? Заранее спасибо

Offline werter

  • Hero Member
  • *****
  • Posts: 4977
  • Karma: +236/-15
    • View Profile
Re: Suricata и 1gbps
« Reply #1 on: December 16, 2017, 07:04:54 am »
Доброго.

https://forum.pfsense.org/index.php?topic=127239.0

https://forum.pfsense.org/index.php?topic=138196.0
Quote
Did you remember to disable all the hardware checksumming on the Advanced Network tab in pfSense?  You must turn off hardware-based checksums, TCP segmentation offloading and LRO (Large Receive Offloading) when using Inline IPS Mode.  Hardware checksumming is on by default.  If you make changes to these parameters, you need to reboot the firewall for them to take effect.
Найдено по фразе suricata high cpu usage pfsense

Какие пакеты еще установлены?
« Last Edit: December 16, 2017, 07:15:07 am by werter »

Offline borg

  • Jr. Member
  • **
  • Posts: 62
  • Karma: +13/-0
    • View Profile
Re: Suricata и 1gbps
« Reply #2 on: December 17, 2017, 04:09:53 am »
Список пакетов: arping,Avahi,Backup,bandwidthd,Cron,iperf,mtr-nox11,nmap,ntopng,Open-VM-Tools,openvpn-client-export,pfBlockerNG,squid,suricata
Пробовал переставлять тип nic с VMXNET3 на e1000, про это где то читал, но не дало результатов, вернул обратно. Если выключаю сурикату, то все ок.

Offline werter

  • Hero Member
  • *****
  • Posts: 4977
  • Karma: +236/-15
    • View Profile
Re: Suricata и 1gbps
« Reply #3 on: December 17, 2017, 05:14:09 am »
Доброго.
Версия Vmware? Что в логах пф\сурикаты при этом ? Имеются ли родные vmware tools под bsd ?
Попробуйте откл. pfblocker.
Попробуйте поднять с нуля пф, установить только сурикату и поглядеть.


Зы. Переходите на KVM  ::)