Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Fehler Suricata Inline IPS Mode (netmap)

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 2 Posters 592 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • cyruzC
      cyruz
      last edited by cyruz

      Moin zusammen,

      ich versuche seit geraumer Zeit den Inline IPS Mode von Suricata zu aktivieren. Bis vor einiger Zeit reichte mir der Legacy Mode, jedoch habe ich mittlerweile eine fixere Leitung (500er Glas) und dem Prozessor meines Hosts geht scheinbar im PCAP Verfahren die Puste aus.

      Specs:

      • NRG Systems IPU 672 mit nem Core-i5-7200 U + 16 GB RAM und ner SSD
      • darauf läuft Proxmox 6.3-3
      • die pfSense läuft seit gestern auf 2.5.0
      • Suricata auf 6.0.0_8

      HW Offloading wie empfohlen ist aus. Aktiviere ich nun den Inline Mode, mault mich die VM wie auch das pfSense Log mit folgenden an:

      Feb 23 17:15:56 php-fpm 96869 [Suricata] ERROR: unable to find reject_sid list "none" specified for LAN
      Feb 23 17:15:49 kernel 949.253959 [ 320] generic_netmap_register Emulated adapter for igb1 activated
      Feb 23 17:15:49 kernel 949.205948 [1130] generic_netmap_attach Emulated adapter for igb1 created (prev was igb1)
      Feb 23 17:15:49 kernel 949.203449 [1035] generic_netmap_dtor Emulated netmap adapter for igb1 destroyed
      Feb 23 17:15:49 kernel 949.203435 [1027] generic_netmap_dtor Native netmap adapter for igb1 restored
      Feb 23 17:15:49 kernel 949.203392 [1130] generic_netmap_attach Emulated adapter for igb1 created (prev was igb1)
      Feb 23 17:15:36 php 48635 [Suricata] Suricata START for LAN(igb1)...
      Feb 23 17:15:36 php 48635 [Suricata] Building new sid-msg.map file for LAN...
      Feb 23 17:15:36 php 48635 [Suricata] Enabling any flowbit-required rules for: LAN...
      Feb 23 17:15:36 php 48635 [Suricata] ERROR: unable to find reject_sid list "none" specified for LAN
      Feb 23 17:15:36 php 48635 [Suricata] Updating rules configuration for: LAN ...
      Feb 23 17:15:34 php-fpm 463 [Suricata] Suricata STOP for LAN(igb1)...
      Feb 23 17:15:34 php-fpm 463 Restarting Suricata on LAN(igb1) per user request...
      Feb 23 17:13:02 check_reload_status 366 Syncing firewall
      Feb 23 17:11:03 php 40366 [Suricata] Suricata START for LAN(igb1)...
      Feb 23 17:11:03 php 40366 [Suricata] Building new sid-msg.map file for LAN...
      Feb 23 17:11:03 php 40366 [Suricata] Enabling any flowbit-required rules for: LAN...
      Feb 23 17:11:02 php 40366 [Suricata] Updating rules configuration for: LAN ...
      Feb 23 17:11:02 php-fpm 96869 Starting Suricata on LAN(igb1) per user request...

      Die NICs habe ich bereit mit VTNET und Passthrough betrieben - beide Modi´s laufen aufs gleiche Ergebnis hinaus.

      Habe folgenden "Guide" bzgl. der System Tunables durch:

      fdfb1e9e-0afa-4028-aac0-1e6651f16a4e-image.png

      Das Log wird nach Aktivierung und den Fehlermeldungen nicht mehr fortgesetzt und nach und nach quittieren mehr Services ihren Dienst (erst DNS, dann DHCP ... bis finito)

      Hat jemand eine Idee ?

      Grüße

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @cyruz
        last edited by

        @cyruz Nach dem "Service quittieren Dienst" kam auch nichts mehr in den Logs? Auch nicht in denen der Anwendungen, gerade jetzt sowas wie DNS?

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        cyruzC 1 Reply Last reply Reply Quote 0
        • cyruzC
          cyruz @JeGr
          last edited by

          @jegr Moin ... das kann ich dir leider nicht beantworten, da die pfSense komplett die Hufe hochreißt und das gesamte Netz "dicht" macht. Ich komme an die Maschine nicht mehr ran, auch nicht per SSH. Alle verwalteten Netze hinter der pfSense sind platt.
          Die einzige Lösung, wie ich mich wieder "bewegen" kann, ist, Notebook an den Mgmt.-Port des Switches klemmen, per IP auf den PVE-Host und "Rollback" auf den letzten Snapshot, den ich vor solchen Config-Changes immer mache. Logischerweise sind denn auch die ganzen Logs weg .... die letzten Zuckungen, welche ich auf der Shell sehe sind Folgende:

          2021-03-02 10_17_05-Window.jpg

          Grüße

          1 Reply Last reply Reply Quote 0
          • cyruzC
            cyruz
            last edited by

            Hier nochmal ein paar Configs zur besseren Nachvollziehbarkeit:

            loader.conf

            kern.cam.boot_delay=10000
kern.ipc.nmbclusters="1000000"
kern.ipc.nmbjumbop="524288"
kern.ipc.nmbjumbo9="524288"
boot_multicons="YES"
boot_serial="YES"
console="comconsole,vidconsole"
comconsole_speed="115200"
autoboot_delay="3"
hw.hn.vf_transparent="0"
hw.hn.use_if_start="1"

            ifconfig -igb1

            igb1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: LAN
        options=8100b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWFILTER>
        ether xx:xx:xx:xx:xx:xx
        inet6 xxxxx%igb1 prefixlen 64 scopeid 0x2
        inet 192.168.5.1 netmask 0xffffff00 broadcast 192.168.5.255
        inet 10.0.0.1 netmask 0xffffffff broadcast 10.0.0.1
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

            sysctl -a | grep netmap

            device  netmap
hw.cxgbe.native_netmap: 2
dev.netmap.iflib_rx_miss_bufs: 0
dev.netmap.iflib_rx_miss: 0
dev.netmap.iflib_crcstrip: 1
dev.netmap.bridge_batch: 1024
dev.netmap.default_pipes: 0
dev.netmap.priv_buf_num: 4098
dev.netmap.priv_buf_size: 2048
dev.netmap.buf_curr_num: 0
dev.netmap.buf_num: 163840
dev.netmap.buf_curr_size: 0
dev.netmap.buf_size: 2048
dev.netmap.priv_ring_num: 4
dev.netmap.priv_ring_size: 20480
dev.netmap.ring_curr_num: 0
dev.netmap.ring_num: 200
dev.netmap.ring_curr_size: 0
dev.netmap.ring_size: 36864
dev.netmap.priv_if_num: 2
dev.netmap.priv_if_size: 1024
dev.netmap.if_curr_num: 0
dev.netmap.if_num: 100
dev.netmap.if_curr_size: 0
dev.netmap.if_size: 1024
dev.netmap.ptnet_vnet_hdr: 1
dev.netmap.generic_rings: 1
dev.netmap.generic_ringsize: 1024
dev.netmap.generic_mit: 100000
dev.netmap.generic_hwcsum: 0
dev.netmap.admode: 0
dev.netmap.fwd: 0
dev.netmap.txsync_retry: 2
dev.netmap.no_pendintr: 1
dev.netmap.no_timestamp: 0
dev.netmap.verbose: 0

            Beste Grüße

            JeGrJ 1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator @cyruz
              last edited by

              @cyruz Sorry, bin ich gerade überfragt, IPS mache ich generell schon recht wenig, da ich den Sinn inzwischen stark anzweifle und wenn dann bislang mit Snort, weils dann meist um LAN Interface geht und da will man dann gern die AppID Geschichte die in Surricata (noch?) nicht läuft.

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              cyruzC 1 Reply Last reply Reply Quote 0
              • cyruzC
                cyruz @JeGr
                last edited by

                @jegr Ok - das "womit" sei jedem selbst überlassen.
                Sei es drum ... ob Snort oder Suricata, beide greifen ja auf netmap Features des OS zu, was hier scheinbar nicht funktioniert (auch bei Snort nicht - gleiche Meldungen). Da ich nicht einzige ambitionierte Heimanwender sein werde, der ne FreeBSD-basierende FireWall auf Proxmox virtualisiert, hatte ich gehofft hier Lösungsansätze zu finden.

                Sollte ich meine Frage vllt. mal im englischen Forum stellen ?

                Grüße

                JeGrJ 1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator @cyruz
                  last edited by

                  @cyruz wäre nicht verkehrt zumal der maintainer von snort und ich glaube auch surricata bmeeks ist. Und Bill ist wirklich ne sehr freundliche Tüpe der einiges auf dem Kasten hat

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.