par admin » 27 avr. 2026, 19:55
Salut, et merci à toi pour le post.
Ensuite, je me suis permis de déplacer ton post, dans ce forum... Je ne sais pas si tu a consulté déjà ce sujet (je pense que oui...)
Je t'avoue que je débute aussi sous Suricata, et je crains que je ne puisse pas totalement te répondre (je m'aide beaucoup de l'IA, tu sais)...
En effet, j'ai un switch manageable, sur lequel, est, en effet connecté Suricata, sur un port mirroring. Sur ma machine Debian 13, j'ai 2 interfaces IP, une pour Suricata, en mode promisc, et l'autre, surtout pour le SSH, mais aussi pour internet. Mais, je pense que sur une seule interface IP promisc, ça ne devrait pas bloquer, je vois pas pourquoi...
Je me suis servi de "netplan" de NetworkManager(sous Debian 13), à la place de ifupdown et /etc/network/interfaces (de Debian 12)
Puis,
Je me suis servi de :
à la place de :
Pour activer le mode "promisc" de eth0
Essaye voir, ça coûte rien, peut-être que c'est mieux...
Ensuite, j'avais complètement oublié de préciser ce block ci, dans la configuration de suricata.yaml :
Code : Tout sélectionner
af-packet:
- interface: eth2
cluster-type: cluster_flow
cluster-id: 99
defrag: yes
use-mmap: yes
tpacket-v3: yes
mmap-locked: no
ring-size: 2048
block-size: 32768
block-timeout: 10
buffer-size: 32768
disable-promisc: no
checksum-checks: auto
- interface: default
Et je m'en suis rendu compte grâce à toi. Tu devrais vérifier si tu as la bonne config.
Ensuite, en mode "full-wire", comme tu le décris, de machine physique -> interface VM et bridge, ou en host-only, tu ne devrais pas avoir de pertes. Si je peux me permettre de te conseiller sur quelques points (si tu achètes un switch, il y en a un bien dans les annonces de mon site), c'est que si tu as 10 ports physiques sur ton switch, sur lesquels suricata doit surveiller le trafic, l'idée, c'est de diviser le débit maximal du port physique de suricata par 10 : par ex. : 10Go / 10 = 102.4 donc, il faut que tu limites leur taffic à 64Mo (arrondi par défaut). Ensuite, si tu veux limiter le trafic directement sur le port, je te conseille de pas le limiter sur l'ingress (du réseau -> ta machine). Tu laisses l'ingress tel quel (10Go), et tu limites sur l'egress (l'autre sens), sinon, tu aura beaucoup de CRC. De plus, il est mieux de limiter le trafic logiquement (QoS, couche Liaison - Réseau), plutôt que physiquement (limiter le port, couche physique), et donc, de te servir des QoS.
Ensuite, il faut que tu vérifie que le SPAN de ton switch, soit pas unidirectionnel.
Sur ce, bonne soirée.
Salut, et merci à toi pour le post. :)
Ensuite, je me suis permis de déplacer ton post, dans ce forum... Je ne sais pas si tu a consulté déjà ce sujet (je pense que oui...)
Je t'avoue que je débute aussi sous Suricata, et je crains que je ne puisse pas totalement te répondre (je m'aide beaucoup de l'IA, tu sais)...
En effet, j'ai un switch manageable, sur lequel, est, en effet connecté Suricata, sur un port mirroring. Sur ma machine Debian 13, j'ai 2 interfaces IP, une pour Suricata, en mode promisc, et l'autre, surtout pour le SSH, mais aussi pour internet. Mais, je pense que sur une seule interface IP promisc, ça ne devrait pas bloquer, je vois pas pourquoi...
Je me suis servi de "netplan" de NetworkManager(sous Debian 13), à la place de ifupdown et /etc/network/interfaces (de Debian 12)
Puis,
Je me suis servi de :
[code]ip link set dev eth0 promisc on[/code]
à la place de :
[code]ifconfig eth0 promisc[/code]
Pour activer le mode "promisc" de eth0
Essaye voir, ça coûte rien, peut-être que c'est mieux...
Ensuite, j'avais complètement oublié de préciser ce block ci, dans la configuration de suricata.yaml :
[code]
af-packet:
- interface: eth2
cluster-type: cluster_flow
cluster-id: 99
defrag: yes
use-mmap: yes
tpacket-v3: yes
mmap-locked: no
ring-size: 2048
block-size: 32768
block-timeout: 10
buffer-size: 32768
disable-promisc: no
checksum-checks: auto
- interface: default[/code]
Et je m'en suis rendu compte grâce à toi. Tu devrais vérifier si tu as la bonne config.
Ensuite, en mode "full-wire", comme tu le décris, de machine physique -> interface VM et bridge, ou en host-only, tu ne devrais pas avoir de pertes. Si je peux me permettre de te conseiller sur quelques points (si tu achètes un switch, il y en a un bien dans les annonces de mon site), c'est que si tu as 10 ports physiques sur ton switch, sur lesquels suricata doit surveiller le trafic, l'idée, c'est de diviser le débit maximal du port physique de suricata par 10 : par ex. : 10Go / 10 = 102.4 donc, il faut que tu limites leur taffic à 64Mo (arrondi par défaut). Ensuite, si tu veux limiter le trafic directement sur le port, je te conseille de pas le limiter sur l'ingress (du réseau -> ta machine). Tu laisses l'ingress tel quel (10Go), et tu limites sur l'egress (l'autre sens), sinon, tu aura beaucoup de CRC. De plus, il est mieux de limiter le trafic logiquement (QoS, couche Liaison - Réseau), plutôt que physiquement (limiter le port, couche physique), et donc, de te servir des QoS.
Ensuite, il faut que tu vérifie que le SPAN de ton switch, soit pas unidirectionnel.
Sur ce, bonne soirée.