1.  echo 0 > /proc/sys/net/ipv4/conf/tunl0/rp_filter

 关闭源地址验证，否则如果从eth1接收到包，就不能从tunl0返回



2. arp_ignore
  定义对目标地址为本地IP的ARP询问不同的应答模式
  value= 0  机器任一设备有该ip，就响应arp，发送mac地址应答。
  value= 1  只回答目标IP地址是来访网络接口本地地址的ARP查询请求
  Value= 2 只回答目标IP地址是来访网络接口本地地址的ARP查询请求,且来访IP必须在该网络接口的子网段内.
3. arp_announce
  对网络接口上本地IP地址发出的ARP回应作出相应级别的限制:
  value =0 在任意网络接口上的任何本地地址,不限制
  value=1 尽量避免不在该网络接口子网段的本地地址. 如果改来访IP不属于各个网络接口上的子网段内,则采用级别2处理.
  value=2 对查询目标使用最适当的本地地址.在此模式下将忽略这个IP数据包的源地址并尝试选择与能与该地址通信的本地地址.首要是选择所有的网络接口的子网中外出访问子网中包含该目标IP地址的本地地址. 如果没有合适的地址被发现,将选择当前的发送网络接口或其他的有可能接受到该ARP回应的网络接口来进行发送
4. conf/{all,interface}/arp_announce 的最大值是实际生效的

5  echo 1 > /proc/sys/net/ipv4/tcp_syncookies
   启用tcp_syncookies
SYN Cookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。

6 echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse
   表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；
7 echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle
   表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。
8 echo "1024 65000" > /proc/sys/net/ipv4/ip_local_port_range
   用于向外连接的端口范围。
9   /pro/sys/net/ipv4/tcp_fin_timeout
这个参数实际是没有用的，降低 TIME_WAIT的时间只能
$KERNEL/include/net/tcp.h里减小
TCP_TIMEWAIT_LEN #define TCP_TIMEWAIT_LEN (60*HZ) /* how long to wait to destroy TIME-WAIT * state, about 60 seconds */如果想30s回收就改成30