Suricata и 1gbps

borg

Здравствуйте. На днях поставил гигабитку и выяснил что суриката на 2.3.4-RELEASE (amd64) на VM  начинает дропать пакеты и сбрасывать скорость примерно на половину, а то и больше. На 100 мегабитах все нормально. Выделил Intel(R) Xeon(R) CPU E5620 @ 2.40GHz 4 CPUs: 2 package(s) x 2 core(s) и 8гб озу, цпу прямо таки уничтожается сурикатой, больше добавлять не пробовал, оставил только в sid-enable.conf emerging-scan.rules и в dropsid.conf emerging-scan.rules pcre:"pcre:balanced-ips\s*drop". Сталкивался ли кто нибудь с настройкой сурикаты под гигабит? Заранее спасибо

werter

Доброго.

https://forum.pfsense.org/index.php?topic=127239.0

https://forum.pfsense.org/index.php?topic=138196.0

Did you remember to disable all the hardware checksumming on the Advanced Network tab in pfSense?  You must turn off hardware-based checksums, TCP segmentation offloading and LRO (Large Receive Offloading) when using Inline IPS Mode.  Hardware checksumming is on by default.  If you make changes to these parameters, you need to reboot the firewall for them to take effect.

Найдено по фразе suricata high cpu usage pfsense

Какие пакеты еще установлены?

borg

Список пакетов: arping,Avahi,Backup,bandwidthd,Cron,iperf,mtr-nox11,nmap,ntopng,Open-VM-Tools,openvpn-client-export,pfBlockerNG,squid,suricata
Пробовал переставлять тип nic с VMXNET3 на e1000, про это где то читал, но не дало результатов, вернул обратно. Если выключаю сурикату, то все ок.

werter

Доброго.
Версия Vmware? Что в логах пф\сурикаты при этом ? Имеются ли родные vmware tools под bsd ?
Попробуйте откл. pfblocker.
Попробуйте поднять с нуля пф, установить только сурикату и поглядеть.

Зы. Переходите на KVM  ::)