1. echo 0 > /proc/sys/net/ipv4/conf/tunl0/rp_filter
关闭源地址验证,否则如果从eth1接收到包,就不能从tunl0返回
2. arp_ignore
定义对目标地址为本地IP的ARP询问不同的应答模式
value= 0 机器任一设备有该ip,就响应arp,发送mac地址应答。
value= 1 只回答目标IP地址是来访网络接口本地地址的ARP查询请求
Value= 2 只回答目标IP地址是来访网络接口本地地址的ARP查询请求,且来访IP必须在该网络接口的子网段内.
3. arp_announce
对网络接口上本地IP地址发出的ARP回应作出相应级别的限制:
value =0 在任意网络接口上的任何本地地址,不限制
value=1 尽量避免不在该网络接口子网段的本地地址. 如果改来访IP不属于各个网络接口上的子网段内,则采用级别2处理.
value=2 对查询目标使用最适当的本地地址.在此模式下将忽略这个IP数据包的源地址并尝试选择与能与该地址通信的本地地址.首要是选择所有的网络接口的子网中外出访问子网中包含该目标IP地址的本地地址. 如果没有合适的地址被发现,将选择当前的发送网络接口或其他的有可能接受到该ARP回应的网络接口来进行发送
4. conf/{all,interface}/arp_announce 的最大值是实际生效的
5 echo 1 > /proc/sys/net/ipv4/tcp_syncookies
启用tcp_syncookies
SYN Cookie是对TCP服务器端的三次握手协议作一些修改,专门用来防范SYN
Flood攻击的一种手段。它的原理是,在TCP服务器收到TCP SYN包并返回TCP
SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。在收到TCP
ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。
6 echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse
表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
7 echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle
表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
8 echo "1024 65000" > /proc/sys/net/ipv4/ip_local_port_range
用于向外连接的端口范围。
9 /pro/sys/net/ipv4/tcp_fin_timeout
这个参数实际是没有用的,降低 TIME_WAIT的时间只能
$KERNEL/include/net/tcp.h里减小
TCP_TIMEWAIT_LEN #define TCP_TIMEWAIT_LEN (60*HZ) /* how long to wait to destroy TIME-WAIT
* state, about 60 seconds */如果想30s回收就改成30
阅读(3716) | 评论(0) | 转发(1) |