Chinaunix首页 | 论坛 | 博客
  • 博客访问: 969901
  • 博文数量: 99
  • 博客积分: 3306
  • 博客等级: 中校
  • 技术积分: 1238
  • 用 户 组: 普通用户
  • 注册时间: 2009-04-21 10:14
文章分类

全部博文(99)

文章存档

2012年(37)

2011年(56)

2010年(6)

分类: LINUX

2011-12-29 23:19:43

1.  echo 0 > /proc/sys/net/ipv4/conf/tunl0/rp_filter

 关闭源地址验证,否则如果从eth1接收到包,就不能从tunl0返回



2. arp_ignore
  定义对目标地址为本地IP的ARP询问不同的应答模式
  value= 0  机器任一设备有该ip,就响应arp,发送mac地址应答。
  value= 1  只回答目标IP地址是来访网络接口本地地址的ARP查询请求
  Value= 2 只回答目标IP地址是来访网络接口本地地址的ARP查询请求,且来访IP必须在该网络接口的子网段内.
3. arp_announce
  对网络接口上本地IP地址发出的ARP回应作出相应级别的限制:
  value =0 在任意网络接口上的任何本地地址,不限制
  value=1 尽量避免不在该网络接口子网段的本地地址. 如果改来访IP不属于各个网络接口上的子网段内,则采用级别2处理.
  value=2 对查询目标使用最适当的本地地址.在此模式下将忽略这个IP数据包的源地址并尝试选择与能与该地址通信的本地地址.首要是选择所有的网络接口的子网中外出访问子网中包含该目标IP地址的本地地址. 如果没有合适的地址被发现,将选择当前的发送网络接口或其他的有可能接受到该ARP回应的网络接口来进行发送
4. conf/{all,interface}/arp_announce 的最大值是实际生效的

5  echo 1 > /proc/sys/net/ipv4/tcp_syncookies
   启用tcp_syncookies
SYN Cookie是对TCP服务器端的三次握手协议作一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。

6 echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse
   表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
7 echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle
   表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
8 echo "1024 65000" > /proc/sys/net/ipv4/ip_local_port_range
   用于向外连接的端口范围。
9   /pro/sys/net/ipv4/tcp_fin_timeout
这个参数实际是没有用的,降低 TIME_WAIT的时间只能
$KERNEL/include/net/tcp.h里减小
TCP_TIMEWAIT_LEN #define TCP_TIMEWAIT_LEN (60*HZ) /* how long to wait to destroy TIME-WAIT * state, about 60 seconds */如果想30s回收就改成30

阅读(3709) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~