<div class="gmail_quote">In test environment (not real traffic, just stress test and pcaps replications using tomahaw and tcpreplay) I got better performance in througput running with 4 queues. This is not the case because the max throughput in this network is 25 Mbps and running with 1 queue should be enough. I used 2 queues just for testing. I don't believe Suricata would process more than 500 Mbps of througput running with 1 queue. I 'd rather avoid running multiple instances.<div>
<div></div><div class="h5"><div>
<br><br><div class="gmail_quote">2011/6/22 Dave Remien <span dir="ltr"><<a href="mailto:dave.remien@gmail.com" target="_blank">dave.remien@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Looking at the nfq code, there's some "interesting" code in the area where packets are nfq acked, having to do with inspecting inside tunnels. I'm not saying there's a problem, just try to narrow down what to look at.<div>


<br></div><div>Are you running Suricata on two nfqs for a specific purpose?</div><div><br></div><div>Cheers!</div><div><br></div><div><font color="#888888">Dave</font><div><div></div><div><br></div></div></div>
</blockquote></div> <br>
</div>
</div></div></div><br><br clear="all"><br>-- <br>Fernando Ortiz <br>Twitter: <a href="http://twitter.com/FernandOrtizF">http://twitter.com/FernandOrtizF</a><br> <br>