Я установил из стандартного репозитария Suricata, но я обнаружил что она не маркирует пакеты. Я делал следующие:
iptables -t mangle -I PREROUTING -m mark ! --mark 0x1/0x1 -j NFQUEUE --queue-num 0
nfq:
mode: repeat
repeat-mark: 1
repeat-mask: 1
default-rule-path: /etc/suricata
rule-files:
- test.rules
pass tcp any any -> any any (content: "TEST"; msg: "TEST was marked!"; nfq_set_mark:0x2/0xffffffff; sid:2455;)
Делал также:
pass tcp any any -> any any (content: "TEST"; replace:"SETS"; msg: "TEST was marked!"; nfq_set_mark:0x2/0xffffffff; sid:2455;)
Делал замер скорости, канал 100Mbps проседает до 70-80Mbps.
Кстати, если не охота чтобы канал проседал, можно сделать так, чтобы на suricata заворачивалось к примеру до 1 мегабайта. Для анализа и блокировки сайтов из реестра, этого вполне достаточно. Я проводил тестирование на VirtualBox
