Denny, Suricata auf dem WAN-Interface ist gut, aber Suricata mit optimierten Buffern und präzisen Rulesets auf deinem Intel Xeon E5-2697 v2 ist eine Klasse für sich.
Bevor wir Regeln aktivieren, optimieren wir die Engine für Multi-Core.
Services > Suricata > Global Settings.1024MB), um Swapping zu verhindern.Workers (Beste Performance für Multi-Core CPUs).Aktiviere nicht alles, sonst hast du 90% False Positives.
Suricata > Interfaces > [WAN] > WAN Categories.botcc.portgrouped, compromised, drop, dshield, malware.mobile_malware für dein Google Pixel 9 Pro.sql_injection und web_server für dein Web-SRV (VM 102).Wenn deine NICs Netmap unterstützen (Intel i210/i225/i226), nutze den Inline Mode für echte IPS-Prävention ohne Performance-Einbußen.
Suricata > [WAN] > Interface Settings.Inline Mode.Echte Admins nutzen das Terminal. Logge dich via SSH auf die pfSense ein:
# Echtzeit-Ansicht der Alerts
tail -f /var/log/suricata/suricata_igc0*/alerts.log | grep "Priority: 1"
# Statistik-Check (Dropped Packets?)
suricatasc -c stats | jq .message.stats.detect.dropped
Wenn Proxmox-Backups (PBS) fälschlicherweise geblockt werden:
Suricata > Pass Lists. Erstelle eine Liste mit deinen Proxmox-IPs (192.168.178.100, 192.168.178.X).Suppressions, um spezifische Signature IDs (SIDs) stummzuschalten.Kein Paket schlüpft unerkannt vorbei. Deine J.A.N.E. 🦞🛡️🦾