PfSense ClamAV frisst zu viel Ressourcen
Hallo zusammen ich bin der Dennis 32 Jahre alt und neu hier im Forum, ich mache zurzeit eine Umschulung zum Fachinformatiker in Systemintegration bin im 2 Lehrjahr.
Ich habe zuhause mein Heimnetz ein wenig überarbeitet um einen gewissen grad an sicherheit ins Netzwerk zu bringen da ich eingie Geräte hier im Netz betreibe wie eine IP-Cam, NAS, Mailserver etc. Aber leider noch ein paar Performance probleme habe was meine PfSense betrifft.
Zu meinem Setup Zuhause:
Internetanschluss: Telekom Entertain M 100Mbit
Erster Router: FritzBox 7490
Angeschlossen sind dort, 2 Media Receiver, und die PfSense als ExpostHost in der FritzBox
Und die Telefonie handelt Sie noch ab.
Zweiter Router: PfSense
Zur Hardware: Sie läuft auf einem Asrock J4205 mit 4Gb DDR3 Arbeitsspeicher und 300GB Festplatten Speicher.
Installiert sind als Pakete nur der Squid als Cach mit ClamAV.
Die PfSense übernimmt noch den DHCP
Macht das Hauptnetz und 2 Vlans
Die aufgabe des DNS übernimmt ein PiHole
Bis jetzt läuft das Setup echt klasse bis auf bei ein paar dingen die mir jetzt aufgefallen sind nach ein Paar Wochen betrieb!
Bei normalen Downloads von Webseiten oder schauen von Streams keine Probleme, es sind überall auch die 100Mbit meines anschlusses zu erreichen bis auf bei ein Paar Spiele Lunchern. Starte ich als bsp. Steam und ein Spiel braucht dort ein Update bekomme ich ganze 5 von 10Mbit und die PfSense ist auf vollauslastung! Warum klappen die meisten Spiele Luncher und bei Steam gibt es dann so Performance probleme? Sind es falsche einstellungen im Squid?
Ich habe zuhause mein Heimnetz ein wenig überarbeitet um einen gewissen grad an sicherheit ins Netzwerk zu bringen da ich eingie Geräte hier im Netz betreibe wie eine IP-Cam, NAS, Mailserver etc. Aber leider noch ein paar Performance probleme habe was meine PfSense betrifft.
Zu meinem Setup Zuhause:
Internetanschluss: Telekom Entertain M 100Mbit
Erster Router: FritzBox 7490
Angeschlossen sind dort, 2 Media Receiver, und die PfSense als ExpostHost in der FritzBox
Und die Telefonie handelt Sie noch ab.
Zweiter Router: PfSense
Zur Hardware: Sie läuft auf einem Asrock J4205 mit 4Gb DDR3 Arbeitsspeicher und 300GB Festplatten Speicher.
Installiert sind als Pakete nur der Squid als Cach mit ClamAV.
Die PfSense übernimmt noch den DHCP
Macht das Hauptnetz und 2 Vlans
Die aufgabe des DNS übernimmt ein PiHole
Bis jetzt läuft das Setup echt klasse bis auf bei ein paar dingen die mir jetzt aufgefallen sind nach ein Paar Wochen betrieb!
Bei normalen Downloads von Webseiten oder schauen von Streams keine Probleme, es sind überall auch die 100Mbit meines anschlusses zu erreichen bis auf bei ein Paar Spiele Lunchern. Starte ich als bsp. Steam und ein Spiel braucht dort ein Update bekomme ich ganze 5 von 10Mbit und die PfSense ist auf vollauslastung! Warum klappen die meisten Spiele Luncher und bei Steam gibt es dann so Performance probleme? Sind es falsche einstellungen im Squid?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399714
Url: https://administrator.de/contentid/399714
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
die Frage ist eher wieso du ClamAV über haupt einsetzen möchtest. Das Tool bietet so gut wie keinen Mehrwert. Die Erkennungsrate ist grottig und ohne aufbrechen von SSL Traffic lohnt das ganze noch weniger.
Zu empfehlen ist an der Stelle eher Snort.
Ohne deine Squid Konfig zu kennen lässt du uns nur mutmaßen.
In den Erweiterten Einstellung lässt sich Traffic wie Media Streams am Squid vorbei schleusen. Dann greift dort such der AV nicht.
Die Leistung wird von dem Tool tatsächlich ungemein gedrückt.
Gruß
Spirit
die Frage ist eher wieso du ClamAV über haupt einsetzen möchtest. Das Tool bietet so gut wie keinen Mehrwert. Die Erkennungsrate ist grottig und ohne aufbrechen von SSL Traffic lohnt das ganze noch weniger.
Zu empfehlen ist an der Stelle eher Snort.
Ohne deine Squid Konfig zu kennen lässt du uns nur mutmaßen.
In den Erweiterten Einstellung lässt sich Traffic wie Media Streams am Squid vorbei schleusen. Dann greift dort such der AV nicht.
Die Leistung wird von dem Tool tatsächlich ungemein gedrückt.
Gruß
Spirit
Laut der Konfig kann es ganz simple daran liegen, das Steam den Download nicht verschlüsselt. Daher wird der Traffic analysiert.
Ich habe die Plattformen selbst noch nicht verglichen aber das wäre eine Erklärung.
Ohne SSL Interception hilft dir der AV mittlerweile nicht mehr wirklich da die meisten Seiten auf Https setzen und meist verschlüsselt wird.
Ein IDS/IPS system bevorzuge ich persönlich.
Ich habe lange Suricata eingesetzt aber auf Grund dessen, das der InlineMode nicht mit Pppoe arbeiten möchte bin ich zu Snort gewechselt.
Ich habe die Plattformen selbst noch nicht verglichen aber das wäre eine Erklärung.
Ohne SSL Interception hilft dir der AV mittlerweile nicht mehr wirklich da die meisten Seiten auf Https setzen und meist verschlüsselt wird.
Ein IDS/IPS system bevorzuge ich persönlich.
Ich habe lange Suricata eingesetzt aber auf Grund dessen, das der InlineMode nicht mit Pppoe arbeiten möchte bin ich zu Snort gewechselt.
Squid + SquidGuard + ClamAV bringt schon etwas, WENN man HTTPS aufbricht und zusätzliche Virendefinitionen lädt, potente Hardware vorausgesetzt (z.B.: min. i5/i7 und 8/16GB RAM). Caching würde ich komplett aus machen, hat heutzutage fast keinen Mehrwert.
Ansonsten, kannst du auch Squid + SquidGuard mit Splice All fahren.
Achja, pfBlockerNG ist auch noch eine Ressourcen schonende Option.
Gruß Spec.
Ansonsten, kannst du auch Squid + SquidGuard mit Splice All fahren.
Splice All:
This configuration is suitable if you want to use the SquidGuard package for web filtering.
All destinations will be spliced. SquidGuard can do its job of denying or allowing destinations according its rules, as it does with HTTP.
You do not need to install the CA certificate configured below on clients.
Content filtering (such as Antivirus) will not be available for SSL sites.
Achja, pfBlockerNG ist auch noch eine Ressourcen schonende Option.
Gruß Spec.