Ahogyan azt előttem is írták ez esetben leginkább proxykon keresztül kommunikálhatnál az internet felé. Igaz, itt több mint 15000 júzer gyors kiszolgálásáról írnak, de ha csak a suricata rendszer igényéből indulok ki, akkor feltehetően ide sem árt egy izmosabb vas a vizsgálathoz. És ez csak a http kapcsik. FTP, sync, ssh, VPN, torrent, stb kapcsik még nincsenek benne. Bár azt nem tudom, hogy ilyesmiket használtok-e, vagy egyszerűen letilthatók a tűzfalban.
Igaz, nem az én dolgom, és nem is tudom, hogy hol szeretnél ilyen előszűrést csinálni, de erre azért felhívnám a figyelmed:
"SquidClamav will not allow you to scan big files on the fly or at least not entirely, this is a limitation on how Squid redirector works or when using ICAP protocol this is a limitation on how clamd works. The files are downloaded and scanned first, if no virus is found then Squid deliver the file to the client. If a virus is found SquidClamav redirect Squid to a warning page or script. This mean that the client must wait the end of the scan before receiving any data so with big files it could probably enter on timeout. This size limit depends directly of the proxy server performance.
Although you must understand that it is not possible to scan an ISO file (cd/dvd image) "on the fly" because it must be mount before scanning, so SquidClamav can not do that unless we have a virilator mode, i-e file is downloaded in background and the user can get it later after it has been scanned." kiemelések tőlem.
Ebből adódóan mondjuk ha két három kliens videot szeretne nézni böngészőből, akkor az nem feltétlen lesz villámgyors. És akkor még a lan alatti illetve kliens szintű támadások ellen nem tettél semmit... Biztosan erre van szükséged?