5
PfSense ClamAV frisst zu viel Ressourcen
Hallo zusammen ich bin der Dennis 32 Jahre alt und neu hier im Forum, ich mache zurzeit eine Umschulung zum Fachinformatiker in Systemintegration bin im 2 Lehrjahr.
Ich habe zuhause mein Heimnetz ein wenig überarbeitet um einen gewissen grad an sicherheit ins Netzwerk zu bringen da ich eingie Geräte hier im Netz betreibe wie eine IP-Cam, NAS, Mailserver etc. Aber leider noch ein paar Performance probleme habe was meine PfSense betrifft.
Zu meinem Setup Zuhause:
Internetanschluss: Telekom Entertain M 100Mbit
Erster Router: FritzBox 7490
Angeschlossen sind dort, 2 Media Receiver, und die PfSense als ExpostHost in der FritzBox
Und die Telefonie handelt Sie noch ab.
Zweiter Router: PfSense
Zur Hardware: Sie läuft auf einem Asrock J4205 mit 4Gb DDR3 Arbeitsspeicher und 300GB Festplatten Speicher.
Installiert sind als Pakete nur der Squid als Cach mit ClamAV.
Die PfSense übernimmt noch den DHCP
Macht das Hauptnetz und 2 Vlans
Die aufgabe des DNS übernimmt ein PiHole
Bis jetzt läuft das Setup echt klasse bis auf bei ein paar dingen die mir jetzt aufgefallen sind nach ein Paar Wochen betrieb!
Bei normalen Downloads von Webseiten oder schauen von Streams keine Probleme, es sind überall auch die 100Mbit meines anschlusses zu erreichen bis auf bei ein Paar Spiele Lunchern. Starte ich als bsp. Steam und ein Spiel braucht dort ein Update bekomme ich ganze 5 von 10Mbit und die PfSense ist auf vollauslastung! Warum klappen die meisten Spiele Luncher und bei Steam gibt es dann so Performance probleme? Sind es falsche einstellungen im Squid?
Ich habe zuhause mein Heimnetz ein wenig überarbeitet um einen gewissen grad an sicherheit ins Netzwerk zu bringen da ich eingie Geräte hier im Netz betreibe wie eine IP-Cam, NAS, Mailserver etc. Aber leider noch ein paar Performance probleme habe was meine PfSense betrifft.
Zu meinem Setup Zuhause:
Internetanschluss: Telekom Entertain M 100Mbit
Erster Router: FritzBox 7490
Angeschlossen sind dort, 2 Media Receiver, und die PfSense als ExpostHost in der FritzBox
Und die Telefonie handelt Sie noch ab.
Zweiter Router: PfSense
Zur Hardware: Sie läuft auf einem Asrock J4205 mit 4Gb DDR3 Arbeitsspeicher und 300GB Festplatten Speicher.
Installiert sind als Pakete nur der Squid als Cach mit ClamAV.
Die PfSense übernimmt noch den DHCP
Macht das Hauptnetz und 2 Vlans
Die aufgabe des DNS übernimmt ein PiHole
Bis jetzt läuft das Setup echt klasse bis auf bei ein paar dingen die mir jetzt aufgefallen sind nach ein Paar Wochen betrieb!
Bei normalen Downloads von Webseiten oder schauen von Streams keine Probleme, es sind überall auch die 100Mbit meines anschlusses zu erreichen bis auf bei ein Paar Spiele Lunchern. Starte ich als bsp. Steam und ein Spiel braucht dort ein Update bekomme ich ganze 5 von 10Mbit und die PfSense ist auf vollauslastung! Warum klappen die meisten Spiele Luncher und bei Steam gibt es dann so Performance probleme? Sind es falsche einstellungen im Squid?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399714
Url: https://administrator.de/contentid/399714
Ausgedruckt am: 24.11.2024 um 11:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
die Frage ist eher wieso du ClamAV über haupt einsetzen möchtest. Das Tool bietet so gut wie keinen Mehrwert. Die Erkennungsrate ist grottig und ohne aufbrechen von SSL Traffic lohnt das ganze noch weniger.
Zu empfehlen ist an der Stelle eher Snort.
Ohne deine Squid Konfig zu kennen lässt du uns nur mutmaßen.
In den Erweiterten Einstellung lässt sich Traffic wie Media Streams am Squid vorbei schleusen. Dann greift dort such der AV nicht.
Die Leistung wird von dem Tool tatsächlich ungemein gedrückt.
Gruß
Spirit
die Frage ist eher wieso du ClamAV über haupt einsetzen möchtest. Das Tool bietet so gut wie keinen Mehrwert. Die Erkennungsrate ist grottig und ohne aufbrechen von SSL Traffic lohnt das ganze noch weniger.
Zu empfehlen ist an der Stelle eher Snort.
Ohne deine Squid Konfig zu kennen lässt du uns nur mutmaßen.
In den Erweiterten Einstellung lässt sich Traffic wie Media Streams am Squid vorbei schleusen. Dann greift dort such der AV nicht.
Die Leistung wird von dem Tool tatsächlich ungemein gedrückt.
Gruß
Spirit
Das hatte ich ganze vergessen entschuldige, hier ein paar Daten zu meiner Squid Config:
Local Cache
Hard Disk Cache Size: 1000000
Hard Disk Cache System: aufs
Level 1 Directories: 16
Maximum Object Size: 6MB
Memory Cache Size: 512MB
Maximum Object Size in RAM: 1024kb
Memory Replacement Policy: Heap GDSF
Cache Dynamic Content: Yes
Antivirus
Client Forward Options: Default
Enable Manual Configuration: deaktiviert
Exclude Audio/Video Streams: aktiviert (klappt auch bei fast allen dingen bis auf in Game Luncher)
Transparent Proxy Settings
Transparent HTTP Proxy: aktiviert
SSL Man In the Middle Filtering
HTTPS/SSL Interception: deaktiviert
Ich hab den ClamAV am laufen weil ich dachte das er schon was bringt aber wenn das nicht der fall ist lohnt es ja nicht weiter dran rum zu stellen und ihn besser zu deaktivieren.
Könnten du mir das mit dem Snort ein wenig erläutern?
Local Cache
Hard Disk Cache Size: 1000000
Hard Disk Cache System: aufs
Level 1 Directories: 16
Maximum Object Size: 6MB
Memory Cache Size: 512MB
Maximum Object Size in RAM: 1024kb
Memory Replacement Policy: Heap GDSF
Cache Dynamic Content: Yes
Antivirus
Client Forward Options: Default
Enable Manual Configuration: deaktiviert
Exclude Audio/Video Streams: aktiviert (klappt auch bei fast allen dingen bis auf in Game Luncher)
Transparent Proxy Settings
Transparent HTTP Proxy: aktiviert
SSL Man In the Middle Filtering
HTTPS/SSL Interception: deaktiviert
Ich hab den ClamAV am laufen weil ich dachte das er schon was bringt aber wenn das nicht der fall ist lohnt es ja nicht weiter dran rum zu stellen und ihn besser zu deaktivieren.
Könnten du mir das mit dem Snort ein wenig erläutern?
Laut der Konfig kann es ganz simple daran liegen, das Steam den Download nicht verschlüsselt. Daher wird der Traffic analysiert.
Ich habe die Plattformen selbst noch nicht verglichen aber das wäre eine Erklärung.
Ohne SSL Interception hilft dir der AV mittlerweile nicht mehr wirklich da die meisten Seiten auf Https setzen und meist verschlüsselt wird.
Ein IDS/IPS system bevorzuge ich persönlich.
Ich habe lange Suricata eingesetzt aber auf Grund dessen, das der InlineMode nicht mit Pppoe arbeiten möchte bin ich zu Snort gewechselt.
Ich habe die Plattformen selbst noch nicht verglichen aber das wäre eine Erklärung.
Ohne SSL Interception hilft dir der AV mittlerweile nicht mehr wirklich da die meisten Seiten auf Https setzen und meist verschlüsselt wird.
Ein IDS/IPS system bevorzuge ich persönlich.
Ich habe lange Suricata eingesetzt aber auf Grund dessen, das der InlineMode nicht mit Pppoe arbeiten möchte bin ich zu Snort gewechselt.
Squid + SquidGuard + ClamAV bringt schon etwas, WENN man HTTPS aufbricht und zusätzliche Virendefinitionen lädt, potente Hardware vorausgesetzt (z.B.: min. i5/i7 und 8/16GB RAM). Caching würde ich komplett aus machen, hat heutzutage fast keinen Mehrwert.
Ansonsten, kannst du auch Squid + SquidGuard mit Splice All fahren.
Achja, pfBlockerNG ist auch noch eine Ressourcen schonende Option.
Gruß Spec.
Ansonsten, kannst du auch Squid + SquidGuard mit Splice All fahren.
Splice All:
This configuration is suitable if you want to use the SquidGuard package for web filtering.
All destinations will be spliced. SquidGuard can do its job of denying or allowing destinations according its rules, as it does with HTTP.
You do not need to install the CA certificate configured below on clients.
Content filtering (such as Antivirus) will not be available for SSL sites. Achja, pfBlockerNG ist auch noch eine Ressourcen schonende Option.
Gruß Spec.
Ja der Steam Download Sendet alles in http, ich denke das ich dann auch aus Performance Gründen wohl auf den ClamAV verzichten werden.
Ich hab mir Heute dann mal einiges über Snort durch gelesen von dem Thema hatte ich ja noch gar kein wissen.
Es gibt von Netgate selbst ein tolles Video wo er es mal erklärt und auch mal Konfiguriert, aber das Snort gibt nur eine Alarmmeldung wenn es was entdeckt und blockt das ganze nicht selber oder?
hier einmal der Link zu dem Video:
Link
Hi spec1re,
An sich reizt mich das ganze ja schon mit dem Virenscanner weil er halt vor allen Geräten Arbeitet aber wenn der Scan eh schon nicht so der Hit sein soll, und ich HTTPS verbindungen Privat nicht zwingend anfassen wollte und das Hardware Upgrad für Privat auch keine alternative ist, werde ich wohl auf den ClamAV verzichten müssen. Ich hätte nicht gedacht der er so Resorrcen hungrig ist.
Als pfBlocker nutze ich hier im Privat Netz ja schon einen Pihole als Werbefilter das klappt auf DNS basis auch ganz gut!
Ich hab mir Heute dann mal einiges über Snort durch gelesen von dem Thema hatte ich ja noch gar kein wissen.
Es gibt von Netgate selbst ein tolles Video wo er es mal erklärt und auch mal Konfiguriert, aber das Snort gibt nur eine Alarmmeldung wenn es was entdeckt und blockt das ganze nicht selber oder?
hier einmal der Link zu dem Video:
Link
Hi spec1re,
An sich reizt mich das ganze ja schon mit dem Virenscanner weil er halt vor allen Geräten Arbeitet aber wenn der Scan eh schon nicht so der Hit sein soll, und ich HTTPS verbindungen Privat nicht zwingend anfassen wollte und das Hardware Upgrad für Privat auch keine alternative ist, werde ich wohl auf den ClamAV verzichten müssen. Ich hätte nicht gedacht der er so Resorrcen hungrig ist.
Als pfBlocker nutze ich hier im Privat Netz ja schon einen Pihole als Werbefilter das klappt auf DNS basis auch ganz gut!
