Suricata - тюнинг (низкая пропуская способность канала)

ids, ips, network, snort, suricata

0

1

требуется работа с suricata - оптимизация, входящий линк 125 мбайт/сек, после фильтрации 3 мбайт/сек

suricata собрана из исходного кода с поддержкой af-packet, работает в режиме ips и сидит в виртуальной машине (KVM)

проброс портов в виртуалку методом bridge, ядро 5.15

Конфиг сурка: https://pastebin.com/raw/ffgkXKM6

Hardware:

E5-1850V4

34 GB Ram DDR4

Intel SSD DC 4610

сетевые карты 350-t4v2 и X710-DA2 (ласт прошивка)

p.s. Не важно сколько rules в suricata 0 или 25к, работает в режиме ips или tap - скорость одна 3 мбайт/сек

Протестировано на ubuntu/freebsd/gentoo в пакетах и сток ядром

На bare metal не проверял - нет возможности

оплата: 100$ ?

удалённо, можете ломать как и сколько пожелаете - не прод

контакты: пожалуйста, оставьте свои

Ссылка

←	2000$ - PJSIP - переделка проекта на tgcalls (c++)

Фича для Firefox

→

blind_oracle vel ping

BitSum ★★
(04.04.22 18:22:34 MSK) автор топика

Ссылка

Сколько ядер выделено виртуалке? Попробуй cpu affinity поковырять.

Meyer ★★★★★
(05.04.22 17:04:17 MSK)

Ответ на: комментарий от Meyer 05.04.22 17:04:17 MSK

16, для af-packet уже установлено нужное количество (конфиг с первом посте)

BitSum ★★
(06.04.22 13:27:59 MSK) автор топика

Ответ на: комментарий от BitSum 06.04.22 13:27:59 MSK

Cpu affinity настраивается вот здесь:

threading:
  set-cpu-affinity: no
  # Tune cpu affinity of threads. Each family of threads can be bound
  # to specific CPUs.
  #
  # These 2 apply to the all runmodes:
  # management-cpu-set is used for flow timeout handling, counters
  # worker-cpu-set is used for 'worker' threads
  #
  # Additionally, for autofp these apply:
  # receive-cpu-set is used for capture threads
  # verdict-cpu-set is used for IPS verdict threads
  #
  cpu-affinity:
    - management-cpu-set:
        cpu: [ 0 ]  # include only these CPUs in affinity settings
    - receive-cpu-set:
        cpu: [ 0 ]  # include only these CPUs in affinity settings
    - worker-cpu-set:
        cpu: [ "all" ]
        mode: "exclusive"
        # Use explicitly 3 threads and don't compute number by using
        # detect-thread-ratio variable:
        # threads: 3
        prio:
          low: [ 0 ]
          medium: [ "1-2" ]
          high: [ 3 ]
          default: "medium"
    #- verdict-cpu-set:
    #    cpu: [ 0 ]
    #    prio:
    #      default: "high"

Meyer ★★★★★
(06.04.22 17:07:53 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	2000$ - PJSIP - переделка проекта на tgcalls (c++)

Job

Фича для Firefox

→

Похожие темы