<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">Hi,</span><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">I am trying to use suricata on FreeBSD 10 amd64.</div>
<div style="font-family:arial,sans-serif;font-size:13px">FreeBSD behaves as a VLAN router and NAT Box.</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">
Traffic is about 400Mbps.</div><div style="font-family:arial,sans-serif;font-size:13px">When i diverted traffic to suricata, ( add 100 divert 8000 all from any to any via em0 )</div><div style="font-family:arial,sans-serif;font-size:13px">
swi: netisr 0 thread gets %100 cpu.</div><div style="font-family:arial,sans-serif;font-size:13px">other netisr threads are %0. And Even I remove the divert rule, netisr still eats %100 cpu.  I think that something looping :) </div>
<div style="font-family:arial,sans-serif;font-size:13px">And after 1-2 minutes, one of igb0 and igb1 stops working. </div><div style="font-family:arial,sans-serif;font-size:13px">Only reboot solves problem.</div><div style="font-family:arial,sans-serif;font-size:13px">
<br></div><div style="font-family:arial,sans-serif;font-size:13px">Hardware has 8 cores, 24GB Ram</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">
My loader.conf : </div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px"><div>hw.igb.txd="4096"</div><div>hw.igb.rxd="4096"</div>
<div>hw.igb.rx_process_limit=1024</div><div>hw.igb.num_queues=3</div><div>net.isr.maxthreads=3</div><div>net.isr.bindthreads=1</div><div>net.isr.defaultqlimit=4096</div><div>net.isr.maxqlimit=20480</div><div>net.link.ifqmaxlen=10240</div>
</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">How can I debug this situation? <br></div><div style="font-family:arial,sans-serif;font-size:13px">
Any suggestions?</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">Best regards</div></div>