分类: LINUX
2009-10-25 13:33:16
sysctl.conf
可能是同时打开建立很多sockets,,
默认sockets为128,,cpu占用率不高,那么可以改大
同时应该打开net.inet.tcp.always_keepalive=1
这个选项会去核对来源,,对dos攻击应该有一定效果。
没有具体的测试不敢说会有多少效果。
另外缩短tcp。。存活时间。。默认是10天。。所以会出很多问题。。
net.inet.ipf.fr_tcpidletimeout: 864000
net.inet.tcp.sendspace=65536 <----内存不大的时候不建议开这么高,建议使用默认的。
net.inet.tcp.recvspace=65536 <----内存不大的时候不建议开这么高,建议使用默认的。
kern.ipc.somaxconn=4096 <----和最下面一个参数重复了。
kern.ipc.maxsockbuf=2097152 <----内存不大的时候不建议开这么高,建议使用默认的。
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
net.inet.icmp.icmplim=100
net.inet.tcp.always_keepalive=1
net.inet.tcp.delayed_ack=1
net.inet.udp.sendspace=65535 <----内存不大的时候不建议开这么高,建议使用默认的。
net.inet.udp.maxdgram=65535 <----内存不大的时候不建议开这么高,建议使用默认的。
net.local.stream.sendspace=65535 <----内存不大的时候不建议开这么高,建议使用默认的。
kern.maxfiles=65536
kern.securelevel=0
net.inet.tcp.log_in_vain=1 <---不要打开会让你的日志暴满,反而降低性能
net.inet.udp.log_in_vain=1 <---不要打开会让你的日志暴满,反而降低性能
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.udp.checksum=1
net.inet.icmp.bmcastecho=0
######this new add 20041021###########
net.inet.tcp.recvspace=65535 <----内存不大的时候不建议开这么高,建议使用默认的。
net.inet.tcp.sendspace=65535 <----内存不大的时候不建议开这么高,建议使用默认的。
net.inet.ip.forwarding=1 <---这个不属于服务器的,属于GW或route的。
net.inet.tcp.strict_rfc1948=1
########for sys flood attack######
net.inet.tcp.msl=7500
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.icmplim=50
kern.ipc.somaxconn=32768 《-----内存不大的时候不推荐开这么大,按上面那个重复的开到4096就差不多了,看情况适当增加。
net.inet.tcp.syncookies=1
