To what are you comparing that leads to the "drastic drop"?<br><br><div class="gmail_quote">On Wed, Aug 24, 2011 at 6:22 AM, Ville Vak <span dir="ltr"><<a href="mailto:ville_vak@...125...">ville_vak@...4011.....</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">



<div><div dir="ltr">

I am trying to configure Snort2.9.0.5/NFQUEUE in my setup with inline mode and NFQUEUE.  The network throughput seems to drastically drop with the setup. While analyzing the cause, I read that NFQUEUE itselfs contribute to the major performance hit, besides the expected overhead of pattern matching. Even if we suppress the rules matching/preprocessors in snort, the unacceptable performance hit is observed.<br>
<br>Given below is how I configure the NFQUEUE to send the packets to Snort.<br><br>iptables -I FORWARD -j NFQUEUE<br><br>and <br><br>config daq: nfq                                    <br>config daq_dir: /usr/lib/daq/<br>
config daq_mode: inline <br><br>Tuning the queue_len and Snort snaplen doesn't help much.<br><br>Any cues on tuning the NFQUEUE performance.<br><font color="#888888"><br>-Ville<br><br>                                      </font></div></div>
<br>------------------------------------------------------------------------------<br>
EMC VNX: the world's simplest storage, starting under $10K<br>
The only unified storage solution that offers unified management<br>
Up to 160% more powerful than alternatives and 25% more efficient.<br>
Guaranteed. <a href="http://p.sf.net/sfu/emc-vnx-dev2dev" target="_blank">http://p.sf.net/sfu/emc-vnx-dev2dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br>