A
sysctl — в BSD и Linux — программа, предназначенная для управления отдельными параметрами ядра, безопасности, сетевой подсистемы. Позволяет определять и задавать такие параметры как размер сегмента разделяемой памяти, ограничение на число запущенных процессов, а также включать функции наподобие маршрутизации.
Имеет конфигурационный файл /etc/sysctl.conf, в котором переопределяются необходимые параметры.
Подробная инструкция по конфигурации sysctl есть тут: http://citforum.ru/operating_systems/linux/ipsysctl/
Некоторые полезные настройки sysctl
Если на вашей машине установлено более 512 Мб оперативной памяти, добавляем следующие строки.
Если ширина вашего канала около 10Mbps, можно добавить следующие параметры:
Игнорировать фальшивые ошибки ICMP
Не принимать пересылку ICMP
Для предотвращения SYN-атак добавляем:
Игнорировать ICPM-трафик:
Вести лог марсианских пакетов:
Если вы хотите отключить пересылку пакетов:
Для увеличения максимального числа открытых файлов используйте следующие настройки:
Разрешить пересылку пакетов по ip4 и ip6:
Отключить низкоуровневые сообщения в консоли:
Включить защиту от spoof-атак:
Далее сохраняем изменения и выходим из редактора. Для применения изменений "на лету"даём команду:
Имеет конфигурационный файл /etc/sysctl.conf, в котором переопределяются необходимые параметры.
Подробная инструкция по конфигурации sysctl есть тут: http://citforum.ru/operating_systems/linux/ipsysctl/
Некоторые полезные настройки sysctl
Если на вашей машине установлено более 512 Мб оперативной памяти, добавляем следующие строки.
Код:
kernel.sem = 250 32000 100 128
kernel.shmall = 2097152
kernel.shmmax = 2147483648
kernel.shmmni = 4096
fs.file-max = 65536
vm.swappiness = 1
vm.vfs_cache_pressure = 50Если ширина вашего канала около 10Mbps, можно добавить следующие параметры:
Код:
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.ipv4.tcp_no_metrics_save = 1Игнорировать фальшивые ошибки ICMP
Код:
net.ipv4.icmp_ignore_bogus_error_responses = 1Не принимать пересылку ICMP
Код:
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
Код:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
Код:
net.ipv4.icmp_echo_ignore_broadcasts = 1Вести лог марсианских пакетов:
Код:
net.ipv4.conf.all.log_martians = 1Если вы хотите отключить пересылку пакетов:
Код:
net.ipv4.ip_forward=0Для увеличения максимального числа открытых файлов используйте следующие настройки:
Код:
fs.file-max = 100000Разрешить пересылку пакетов по ip4 и ip6:
Код:
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1Отключить низкоуровневые сообщения в консоли:
Код:
kernel.printk = 4 4 1 7
Код:
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
Код:
sudo sysctl -p