轉載自http://portable.easylife.idv.tw/1300
有關於 iptables 一些設定的進階文章,我覺得算是寫不錯了,話說已經很久沒有看到關於安全性的文章了,這次藍老大的主機被攻擊,我又開始找哩一些相關文章,意外中看到這一篇,還真的感覺不錯,來自 Cerebration 的文章,大家也可以看一看唷!
格式
參數名 參數類型
參數值(如無特別標註,內存類的單位為byte,關於時間的單位為秒)
官方詳細說明(skylove對該參數的個人心得或補充說明)
正文
ip_forward :BOOLEAN
0 - 關閉(默認值)
非0值 - 打開ip轉發
在網絡本地接口之間轉發數據報。該參數非常特殊,對該參數的修改將導致其它所有相關配置參數恢復其默認值(對於主機參閱RFC1122,對於路由器參見RFC1812)(在其他一些操作系統中,這個參數不是boolean型,而是INTEGER型,設置為0為不轉發,1為根據接口情形決定是否轉發,2是始終轉發)
ip_default_ttl :INTEGER
默認值為 64
表示IP數據報的Time To Live值(在網絡傳遞中,每經過一」跳」,該值減少1,當ttl為0的時候,丟棄該包.該值越大,即在網絡上可以經過的路由器設備的數量越多,但一個錯誤的包,也會越發浪費生存週期.根據目前的實際情形而看,設置為32已經足夠普通網絡訪問Internet的需求了)
ip_no_pmtu_disc :BOOLEAN
默認值為FALSE(0)
關閉路徑MTU探測(典型的瓶頸原理,一次成功的傳輸中,mtu是由網絡上最」窄」的位置決定的.如果IP層有一個數據報要傳,而且數據的長度比鏈路層的MTU還大,那麼IP層就需要進行分片(fragmentation),把數據報分成若干片,這樣每一片都小於MTU。
幾種常見網絡的MTU值:
超通道 65535
16Mb/ s令牌網(IBM) 17914
4Mb/ s令牌網(IEEE 802.5) 4464
FDDI 4352
以太網 1500
IEEE 802.3/802.2 1492
X.25 576
點對點(低延時) 296
ipfrag_high_thresh :INTEGER
默認值為262144
用來組裝分段的IP包的最大內存量。兩個文件分別表示用於重組IP分段的內存分配最低值和最高值,一旦達到最高內存分配值,其它分段將被丟棄,直到達到最低內存(ipfrag_low_thresh 見下文)分配值。(根據我個人理解,就是達到最高後,就」關門打狗」,直到處理到最低值的時候才又開門放分段的ip包進來處理.如果最高/最低差距過小,很可能很快又達到限制又開始丟棄包;而設置過大,又會造成某段時間丟包時間持續過久.因此需要適當地考慮,默認值中給出的最低/最高比率值為3/4.此外補充說明,kernel中,對內存的使用單位,都是以byte為單位的.當TCP數據包傳輸發生錯誤時,開始碎片整理。有效的數據包保留在內存,同時損壞的數據包被轉發。我在1G內存的NAT機器上,分別設置最低為262144,最高為393216)
ipfrag_low_thresh :INTEGER
默認值為196608
參見ipfrag_high_thresh。
ipfrag_time :INTEGER
默認值為30
保存一個IP分片在內存中的時間。
inet_peer_threshold :INTEGER
默認值為65664
INET對端存儲器某個合適值,當超過該閥值條目將被丟棄。該閥值同樣決定生存時間以及廢物收集通過的時間間隔。條目越多﹐存活期越低﹐GC 間隔越短(GC=Grabage Collection 廢物收集?默認值65664=65536 + 128 是怎麼得來的呢?看include/net/inetpeer.h struct inet_peer的內容,是為了IP ROUTE更快,緩衝對方IP的信息,一個對方IP一個記錄.該值與
inet_peer_gc_maxtime
inet_peer_gc_mintime
inet_peer_maxttl
inet_peer_minttl
inet_peer_threshold
參數都是用來控制這個cache的大小的。似乎這個cache消耗比較大,在CU上有朋友提到過在一個26M的嵌入式Linux中,這個cache就用到了1M多內存)
inet_peer_minttl :INTEGER
默認值為120
條目的最低存活期。在重組端必須要有足夠的碎片(fragment)存活期。這個最低存活期必須保證緩衝池容積是否少於 inet_peer_threshold。該值以 jiffies為單位測量。(每次整理的時候,會考慮小於inet_peer_minttl 的ip條目一定保存,而大於inet_peer_maxttl時間設置的ip條目會被釋放)
inet_peer_maxttl :INTEGER
默認值為600
條目的最大存活期。在此期限到達之後﹐如果緩衝池沒有耗盡壓力的話(例如﹐緩衝池中的條目數目非常少)﹐不使用的條目將會超時。該值以 jiffies為單位測量。
inet_peer_gc_mintime :INTEGER
默認值為10
廢物收集(GC)通過的最短間隔。這個間隔會影響到緩衝池中內存的高壓力。 該值以 jiffies為單位測量。(如果長期不整理,會cache很多條目,而整理的時間太頻繁,又會給系統造成壓力,這個值就是確定最小整理週期間隔的)
inet_peer_gc_maxtime :INTEGER
默認值為120
廢物收集(GC)通過的最大間隔,這個間隔會影響到緩衝池中內存的低壓力。 該值以 jiffies ((Jiffie: 內核使用的內部時間單位,在i386系統上大小為1/100s,在Alpha中為1/1024S。在/usr/include/asm/param.h中的HZ定義有特定系統的值。))為單位測量。
====================TCP 參數================
tcp_syn_retries :INTEGER
默認值是5
對於一個新建連接,內核要發送多少個 SYN 連接請求才決定放棄。不應該大於255,默認值是5,對應於180秒左右時間。(對於大負載而物理通信良好的網絡而言,這個值偏高,可修改為2.這個值僅僅是針對對外的連接,對進來的連接,是由tcp_retries1 決定的)
tcp_synack_retries :INTEGER
默認值是5
對於遠端的連接請求SYN,內核會發送SYN + ACK數據報,以確認收到上一個 SYN連接請求包。這是所謂的三次握手( threeway handshake)機制的第二個步驟。這裡決定內核在放棄連接之前所送出的 SYN+ACK 數目。不應該大於255,默認值是5,對應於180秒左右時間。(可以根據上面的 tcp_syn_retries 來決定這個值)
tcp_keepalive_time :INTEGER
默認值是7200(2小時)
當keepalive打開的情況下,TCP發送keepalive消息的頻率。(由於目前網絡攻擊等因素,造成了利用這個進行的攻擊很頻繁,曾經也有cu的朋友提到過,說如果2邊建立了連接,然後不發送任何數據或者rst/fin消息,那麼持續的時間是不是就是2小時,空連接攻擊? tcp_keepalive_time就是預防此情形的.我個人在做nat服務的時候的修改值為1800秒)
tcp_keepalive_probes:INTEGER
默認值是9
TCP發送keepalive探測以確定該連接已經斷開的次數。(注意:保持連接僅在SO_KEEPALIVE套接字選項被打開是才發送.次數默認不需要修改,當然根據情形也可以適當地縮短此值.設置為5比較合適)
tcp_keepalive_intvl:INTEGER
默認值為75
探測消息發送的頻率,乘以tcp_keepalive_probes就得到對於從開始探測以來沒有響應的連接殺除的時間。默認值為75秒,也就是沒有活動的連接將在大約11分鍾以後將被丟棄。(對於普通應用來說,這個值有一些偏大,可以根據需要改小.特別是web類服務器需要改小該值,15是個比較合適的值)
tcp_retries1 :INTEGER
默認值是3
放棄回應一個TCP連接請求前﹐需要進行多少次重試。RFC 規定最低的數值是3﹐這也是默認值﹐根據RTO的值大約在3秒 - 8分鍾之間。(注意:這個值同時還決定進入的syn連接)
tcp_retries2 :INTEGER
默認值為15
在丟棄激活(已建立通訊狀況)的TCP連接之前﹐需要進行多少次重試。默認值為15,根據RTO的值來決定,相當於13-30分鍾(RFC1122規定,必須大於100秒).(這個值根據目前的網絡設置,可以適當地改小,我的網絡內修改為了5)
tcp_orphan_retries :INTEGER
默認值是7
在近端丟棄TCP連接之前﹐要進行多少次重試。默認值是7個﹐相當於 50秒 - 16分鍾﹐視 RTO 而定。如果您的系統是負載很大的web服務器﹐那麼也許需要降低該值﹐這類 sockets 可能會耗費大量的資源。另外參的考 tcp_max_orphans 。(事實上做NAT的時候,降低該值也是好處顯著的,我本人的網絡環境中降低該值為3)
tcp_fin_timeout :INTEGER
默認值是 60
對於本端斷開的socket連接,TCP保持在FIN-WAIT-2狀態的時間。對方可能會斷開連接或一直不結束連接或不可預料的進程死亡。默認值為 60 秒。過去在2.2版本的內核中是 180 秒。您可以設置該值﹐但需要注意﹐如果您的機器為負載很重的web服務器﹐您可能要冒內存被大量無效數據報填滿的風險﹐FIN-WAIT-2 sockets 的危險性低於 FIN-WAIT-1 ﹐因為它們最多只吃 1.5K 的內存﹐但是它們存在時間更長。另外參考 tcp_max_orphans。(事實上做NAT的時候,降低該值也是好處顯著的,我本人的網絡環境中降低該值為30)
tcp_max_tw_buckets :INTEGER
默認值是180000
系統在同時所處理的最大 timewait sockets 數目。如果超過此數的話﹐time-wait socket 會被立即砍除並且顯示警告信息。之所以要設定這個限制﹐純粹為了抵禦那些簡單的 DoS 攻擊﹐千萬不要人為的降低這個限制﹐不過﹐如果網絡條件需要比默認值更多﹐則可以提高它(或許還要增加內存)。(事實上做NAT的時候最好可以適當地增加該值)
tcp_tw_recycle :BOOLEAN
默認值是0
打開快速 TIME-WAIT sockets 回收。除非得到技術專家的建議或要求﹐請不要隨意修改這個值。(做NAT的時候,建議打開它)
tcp_tw_reuse:BOOLEAN
默認值是0
該文件表示是否允許重新應用處於TIME-WAIT狀態的socket用於新的TCP連接(這個對快速重啟動某些服務,而啟動後提示端口已經被使用的情形非常有幫助)
tcp_max_orphans :INTEGER
缺省值是8192
系統所能處理不屬於任何進程的TCP sockets最大數量。假如超過這個數量﹐那麼不屬於任何進程的連接會被立即reset,並同時顯示警告信息。之所以要設定這個限制﹐純粹為了抵禦那些簡單的 DoS 攻擊﹐千萬不要依賴這個或是人為的降低這個限制(這個值Redhat AS版本中設置為32768,但是很多防火墻修改的時候,建議該值修改為2000)
tcp_abort_on_overflow :BOOLEAN
缺省值是0
當守護進程太忙而不能接受新的連接,就像對方發送reset消息,默認值是false。這意味著當溢出的原因是因為一個偶然的猝發,那麼連接將恢復狀態。只有在你確信守護進程真的不能完成連接請求時才打開該選項,該選項會影響客戶的使用。(對待已經滿載的sendmail,apache這類服務的時候,這個可以很快讓客戶端終止連接,可以給予服務程序處理已有連接的緩衝機會,所以很多防火墻上推薦打開它)
tcp_syncookies :BOOLEAN
默認值是0
只有在內核編譯時選擇了CONFIG_SYNCOOKIES時才會發生作用。當出現syn等候隊列出現溢出時象對方發送syncookies。目的是為了防止syn flood攻擊。
注意:該選項千萬不能用於那些沒有收到攻擊的高負載服務器,如果在日誌中出現synflood消息,但是調查發現沒有收到synflood攻擊,而是合法用戶的連接負載過高的原因,你應該調整其它參數來提高服務器性能。參考:
tcp_max_syn_backlog
tcp_synack_retries
tcp_abort_on_overflow
syncookie嚴重的違背TCP協議,不允許使用TCP擴展,可能對某些服務導致嚴重的性能影響(如SMTP轉發)。(注意,該實現與BSD上面使用的tcp proxy一樣,是違反了RFC中關於tcp連接的三次握手實現的,但是對於防禦syn-flood的確很有用.)
tcp_stdurg :BOOLEAN
默認值為0
使用 TCP urg pointer 字段中的主機請求解釋功能。大部份的主機都使用老舊的 BSD解釋,因此如果您在 Linux 打開它﹐或會導致不能和它們正確溝通。
tcp_max_syn_backlog :INTEGER
對於那些依然還未獲得客戶端確認的連接請求﹐需要保存在隊列中最大數目。對於超過 128Mb 內存的系統﹐默認值是 1024 ﹐低於 128Mb 的則為 128。如果服務器經常出現過載﹐可以嘗試增加這個數字。警告﹗假如您將此值設為大於 1024﹐最好修改 include/net/tcp.h 裡面的 TCP_SYNQ_HSIZE ﹐以保持 TCP_SYNQ_HSIZE*16<=tcp_max_syn_backlog ﹐並且編進核心之內。(SYN Flood攻擊利用TCP協議散布握手的缺陷,偽造虛假源IP地址發送大量TCP-SYN半打開連接到目標系統,最終導致目標系統Socket隊列資源耗盡而無法接受新的連接。為了應付這種攻擊,現代Unix系統中普遍採用多連接隊列處理的方式來緩衝(而不是解決)這種攻擊,是用一個基本隊列處理正常的完全連接應用(Connect()和Accept() ),是用另一個隊列單獨存放半打開連接。 這種雙隊列處理方式和其他一些系統內核措施(例如Syn-Cookies/Caches)聯合應用時,能夠比較有效的緩解小規模的SYN Flood攻擊(事實證明<1000p/s)加大SYN隊列長度可以容納更多等待連接的網絡連接數,所以對Server來說可以考慮增大該值.)
tcp_window_scaling :INTEGER
缺省值為1
該文件表示設置tcp/ip會話的滑動窗口大小是否可變。參數值為布爾值,為1時表示可變,為0時表示不可變。tcp/ip通常使用的窗口最大可達到65535 字節,對於高速網絡,該值可能太小,這時候如果啟用了該功能,可以使tcp/ip滑動窗口大小增大數個數量級,從而提高數據傳輸的能力(RFC 1323)。(對普通地百M網絡而言,關閉會降低開銷,所以如果不是高速網絡,可以考慮設置為0)
tcp_timestamps :BOOLEAN
缺省值為1
Timestamps 用在其它一些東西中﹐可以防範那些偽造的 sequence 號碼。一條1G的寬帶線路或許會重遇到帶 out-of-line數值的舊sequence 號碼(假如它是由於上次產生的)。Timestamp 會讓它知道這是個 『舊封包』。(該文件表示是否啟用以一種比超時重發更精確的方法(RFC 1323)來啟用對 RTT 的計算;為了實現更好的性能應該啟用這個選項。)
tcp_sack :BOOLEAN
缺省值為1
使用 Selective ACK﹐它可以用來查找特定的遺失的數據報— 因此有助於快速恢復狀態。該文件表示是否啟用有選擇的應答(Selective Acknowledgment),這可以通過有選擇地應答亂序接收到的報文來提高性能(這樣可以讓發送者只發送丟失的報文段)。(對於廣域網通信來說這個選項應該啟用,但是這會增加對 CPU 的佔用。)
tcp_fack :BOOLEAN
缺省值為1
打開FACK擁塞避免和快速重傳功能。(注意,當tcp_sack設置為0的時候,這個值即使設置為1也無效)
tcp_dsack :BOOLEAN
缺省值為1
允許TCP發送」兩個完全相同」的SACK。
tcp_ecn :BOOLEAN
缺省值為0
打開TCP的直接擁塞通告功能。
tcp_reordering :INTEGER
默認值是3
TCP流中重排序的數據報最大數量 。 (一般有看到推薦把這個數值略微調整大一些,比如5)
tcp_retrans_collapse :BOOLEAN
缺省值為1
對於某些有bug的打印機提供針對其bug的兼容性。(一般不需要這個支持,可以關閉它)
tcp_wmem(3個INTEGER變量): min, default, max
min:為TCP socket預留用於發送緩衝的內存最小值。每個tcp socket都可以在建議以後都可以使用它。默認值為4096(4K)。
default:為TCP socket預留用於發送緩衝的內存數量,默認情況下該值會影響其它協議使用的net.core.wmem_default 值,一般要低於net.core.wmem_default的值。默認值為16384(16K)。
max: 用於TCP socket發送緩衝的內存最大值。該值不會影響net.core.wmem_max,」靜態」選擇參數SO_SNDBUF則不受該值影響。默認值為131072(128K)。(對於服務器而言,增加這個參數的值對於發送數據很有幫助,在我的網絡環境中,修改為了51200 131072 204800)
tcp_rmem (3個INTEGER變量): min, default, max
min:為TCP socket預留用於接收緩衝的內存數量,即使在內存出現緊張情況下tcp socket都至少會有這麼多數量的內存用於接收緩衝,默認值為8K。
default:為TCP socket預留用於接收緩衝的內存數量,默認情況下該值影響其它協議使用的 net.core.wmem_default 值。該值決定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win=0默認值情況下,TCP窗口大小為65535。默認值為87380
max:用於TCP socket接收緩衝的內存最大值。該值不會影響 net.core.wmem_max,」靜態」選擇參數 SO_SNDBUF則不受該值影響。默認值為 128K。默認值為87380*2 bytes。(可以看出,.max的設置最好是default的兩倍,對於NAT來說主要該增加它,我的網絡裡為 51200 131072 204800)
tcp_mem(3個INTEGER變量):low, pressure, high
low:當TCP使用了低於該值的內存頁面數時,TCP不會考慮釋放內存。(理想情況下,這個值應與指定給 tcp_wmem 的第 2 個值相匹配 - 這第 2 個值表明,最大頁面大小乘以最大並發請求數除以頁大小 (131072 * 300 / 4096)。 )
pressure:當TCP使用了超過該值的內存頁面數量時,TCP試圖穩定其內存使用,進入pressure模式,當內存消耗低於low值時則退出pressure狀態。(理想情況下這個值應該是 TCP 可以使用的總緩衝區大小的最大值 (204800 * 300 / 4096)。 )
high:允許所有tcp sockets用於排隊緩衝數據報的頁面量。(如果超過這個值,TCP 連接將被拒絕,這就是為什麼不要令其過於保守 (512000 * 300 / 4096) 的原因了。 在這種情況下,提供的價值很大,它能處理很多連接,是所預期的 2.5 倍;或者使現有連接能夠傳輸 2.5 倍的數據。 我的網絡裡為192000 300000 732000)
一般情況下這些值是在系統啟動時根據系統內存數量計算得到的。
tcp_app_win : INTEGER
默認值是31
保留max(window/2^tcp_app_win, mss)數量的窗口由於應用緩衝。當為0時表示不需要緩衝。
tcp_adv_win_scale : INTEGER
默認值為2
計算緩衝開銷bytes/2^tcp_adv_win_scale(如果tcp_adv_win_scale > 0)或者bytes-bytes/2^(-tcp_adv_win_scale)(如果tcp_adv_win_scale <= 0)。
tcp_rfc1337 :BOOLEAN
缺省值為0
這個開關可以啟動對於在RFC1337中描述的」tcp 的time-wait暗殺危機」問題的修復。啟用後,內核將丟棄那些發往time-wait狀態TCP套接字的RST 包.
tcp_low_latency : BOOLEAN
缺省值為0
允許 TCP/IP 棧適應在高吞吐量情況下低延時的情況;這個選項一般情形是的禁用。(但在構建Beowulf 集群的時候,打開它很有幫助)
tcp_westwood :BOOLEAN
缺省值為0
啟用發送者端的擁塞控制算法,它可以維護對吞吐量的評估,並試圖對帶寬的整體利用情況進行優化;對於 WAN 通信來說應該啟用這個選項。
tcp_bic :BOOLEAN
缺省值為0
為快速長距離網絡啟用 Binary Increase Congestion;這樣可以更好地利用以 GB 速度進行操作的鏈接;對於 WAN 通信應該啟用這個選項。
==============IP、ICMP===========
ip_local_port_range: (兩個INTEGER)
定於TCP和UDP使用的本地端口範圍,第一個數是開始,第二個數是最後端口號,默認值依賴於系統中可用的內存數:
> 128Mb 32768-61000
< style="color: rgb(0, 128, 0);">1024-4999 or even less.
該值決定了活動連接的數量,也就是系統可以並發的連接數(做nat的時候,我將它設置為了1024 65530 工作正常)
ip_nonlocal_bind : BOOLEAN
默認值是0
如果您想讓應用程式能夠捆綁到一個不屬於該系統的位址﹐就需要設定這裡。(當機器使
用非固定/動態的網絡連接的時候,或者離線調試程序的時候,當線路斷掉之後﹐該服務仍可啟動而且捆綁到特定的位址之上。)
ip_dynaddr : BOOLEAN
默認值是0
假如甚至為非0值,那麼將支持動態地址.如果是設置為>1的值,將在動態地址改寫的時候發一條內核消息。(如要用動態界面位址做 dail-on-demand ﹐那就設定它。一旦請求界面起來之
後﹐所有看不到回應的本地 TCP socket 都會重新捆綁(rebound)﹐以獲得正確的位址。
假如遇到該網絡界面的連線不工作﹐但重新再試一次卻又可以的情形﹐設定這個可解決這
個問題。)
icmp_echo_ignore_all : BOOLEAN
icmp_echo_ignore_broadcasts : BOOLEAN
默認值是0
如果任何一個設置為true(>0)則系統將忽略所有發送給自己的ICMP ECHO請求或那些廣播地址的請求。(現在網絡上很多病毒/木馬自動發起感染攻擊是先用icmp的echo方式判斷對方是否存活,因此開啟該值,會降低一些被騷擾的可能性。但由於禁止了icmp,就無法ping到該機器了,因此網絡管理員也沒有辦法判斷機器是否存活了,所以可以考慮用netfilter/iptables來完成該工作會更有所選擇針對性.icmp_echo_ignore_all 是禁止所有的icmp包,而icmp_echo_ignore_broadcasts是禁止了所有的廣播包)
icmp_ratelimit : INTEGER
默認值是100 Jiffie
限制發向特定目標的匹配icmp_ratemask的ICMP數據報的最大速率。0表示沒有任何限制,否則表示jiffies數據單位中允許發送的個數。(如果在icmp_ratemask進行相應的設置Echo Request的標誌位掩碼設置為1,那麼就可以很容易地做到ping回應的速度限制了)
icmp_ratemask : INTEGER
在這裡匹配的ICMP被icmp_ratelimit參數限制速率.
匹配的標誌位: IHGFEDCBA9876543210
默認的掩碼值: 0000001100000011000 (6168)
關於標誌位的設置,可參考 源程序目錄/include/linux/icmp.h
0 Echo Reply
3 Destination Unreachable *
4 Source Quench *
5 Redirect
8 Echo Request
B Time Exceeded *
C Parameter Problem *
D Timestamp Request
E Timestamp Reply
F Info Request
G Info Reply
H Address Mask Request
I Address Mask Reply
* 號的被默認限速(見上表mask)
icmp_ignore_bogus_error_responses : BOOLEAN
默認值是0
某些路由器違背RFC1122標准,其對廣播幀發送偽造的響應來應答。這種違背行為通常會被以告警的方式記錄在系統日誌中。如果該選項設置為True,內核不會記錄這種警告信息。(我個人而言推薦設置為1)
===========網絡接口界面(比如lo,eth0,eth1)參數===========
/proc/sys/net/ipv4/conf/{interface}/* :
在/proc/sys/net/ipv4/conf/ 下可以發現類似 all,eth0,eth1,default,lo 等網絡接口界面,每一個都是目錄,他們下屬的文件中,每個文件對應該界面下某些可以設置的選項設置.(all/是特定的,用來修改所有接口的設置,default/ 表示缺省設置,lo/表示本地接口設置,eth0/表示第一塊網卡,eth1/表示第2塊網卡.注意:下面有的參數,是需要all和該界面下同時為ture才生效,而某些則是只需要該界面下為true即可,注意區別!!)
log_martians : BOOLEAN
記錄帶有不允許的地址的數據報到內核日誌中。all/ 或者{interface}/ 下至少有一個為True即可生效.
accept_redirects : BOOLEAN
對於主機來說默認為True,對於用作路由器時默認值為False
收發接收ICMP重定向消息。all/ 和{interface}/ 下兩者同時為True方可生效.
(如果不熟悉所在網絡的結構.推薦不修改,因為在有多個出口的網絡的時候,如果有2個出口路由器,由於作為主機的時候默認只指認一個網關,出口路由可能有策略設置轉到另一個路由器上.)
forwarding : BOOLEAN
在該接口打開轉發功能 (在3塊或以上的網卡的時候很實用,有時候只想讓其中一外一內,另一塊做服務,就可以讓這塊做服務的網卡不轉發數據進出)
mc_forwarding :BOOLEAN
是否進行多播路由。只有內核編譯有CONFIG_MROUTE並且有路由服務程序在運行該參數才有效。
medium_id :INTEGER
默認值是0
通常,這個參數用來區分不同媒介.兩個網絡設備可以使用不同的值,使他們只有其中之一接收到廣播包.默認值為0表示各個網絡介質接受他們自己介質上的媒介,值-1表示該媒介未知。 通常,這個參數被用來配合proxy_arp實現:proxy_arp的特性即是允許arp報文在兩個不同的網絡介質中轉發.(第一段 Integer value used to differentiate the devices by the medium they
are attached to. Two devices can have different id values when
the broadcast packets are received only on one of them.
The default value 0 means that the device is the only interface
to its medium, value of -1 means that medium is not known.沒讀懂,去cu問人,以後更正)
proxy_arp : BOOLEAN
打開arp代理功能。all/ 或者{interface}/ 下至少有一個為True即可生效
shared_media : BOOLEAN
默認為True
發送(路由器)或接收(主機) RFC1620 共享媒體重定向。覆蓋ip_secure_redirects的值。all/ 或者{interface}/ 下至少有一個為True即可生效
secure_redirects : BOOLEAN
默認為True
僅僅接收發給默認網關列表中網關的ICMP重定向消息,默認值是TRUE。all/ 或者{interface}/ 下至少有一個為True即可生效。 (這個參數一般情形請不要修改,可以有效地防止來自同網段的非網關機器發出惡意ICMP重定向攻擊行為)
send_redirects : BOOLEAN
默認為True
如果是router,允許發送重定向消息.all/ 或者{interface}/ 下至少有一個為True即可生效。(根據網絡而定,如果是做NAT,並且網內只有此一個網關的時候,其實是可以關閉掉它的,事實上目前而言,IP Redirects是TCP/IP協議產生早期為瞭解決網絡持續性而提出的一種方法,後來事實證明這種措施不太實用而且具有很大的安全風險,可能引起各種可能的網絡風險產生 - 拒絕服務攻擊,中間人攻擊,會話劫持等等,所以很多安全文檔是推薦關閉它.)
bootp_relay : BOOLEAN
默認為False
接收源地址為0.b.c.d,目的地址不是本機的數據報。用來支持BOOTP轉發服務進程,該進程將捕獲並轉發該包。目前還沒有實現。
accept_source_route : BOOLEAN
對於主機來說默認為False,對於用作路由器時默認值為True
接收帶有SRR選項的數據報。all/ 和{interface}/ 下兩者同時為True方可生效.(IP源路由選項,也是TCP/IP協議早期的一個實現缺陷,允許IP包自身攜帶路由選擇選項,這將允許攻擊者繞過某些安全檢驗的網關,或者被用來探測網絡環境。 在企業網關上強烈建議設置關閉或過綠丟棄IP源路由選項數據包。這個功能在調試網絡的時候很有用,但是在真正的實際應用中,有可能造成一些麻煩和危險)
rp_filter : BOOLEAN
默認值為False
1 - 通過反向路徑回溯進行源地址驗證(在RFC1812中定義)。對於單穴主機和stub網絡路由器推薦使用該選項。
0 - 不通過反向路徑回溯進行源地址驗證。
默認值為0,但某些發佈在啟動時自動將其打開。 (router默認會路由所有東西﹐就算該封包』顯然』不屬於我們的網路的。常見的例子﹐莫過於將私有 IP 洩漏到 internet 上去。假如某個界面﹐其上設定的網絡地址段為
195.96.96.0/24﹐那麼理論上不會有212.64.94.1 這樣的地址段封包會到達這個界面上。許多人都不想轉發非本網段的數據包﹐因此核心設計者也打開了方便之門。在 /proc 裡面有些檔案﹐透過它們您可以讓核心為您做到這點。此方法被稱為 「逆向路徑過濾(Reverse Path Filtering)」。基本上﹐假如對此封包作出的回應﹐不是循其進入的界面送出去﹐那它就被置之不理。)
arp_filter : BOOLEAN
默認值為False
1 -允許多個網絡介質位於同一子網段內,每個網絡界面依據是否內核指派路由該數據包經過此界面來確認是否回答ARP查詢(這個實現是由來源地址確定路由的時候決定的),換句話說,允許控制使用某一塊網卡(通常是第一塊)回應arp詢問。(做負載均衡的時候,可以考慮用
echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
這樣的方式就可以解決,當然 利用
echo 2 /proc/sys/net/ipv4/conf/all/arp_announce
echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
兩條命令配合使用更好,因為arp_announce 和arp_ignore 似乎是對arp_filter的更細節控制的實現。)
0 -默認值,內核設置每個網絡界面各自應答其地址上的arp詢問。這項看似會錯誤的設置卻經常能非常有效,因為它增加了成功通訊的機會。在Linux主機上,每個IP地址是網絡界面獨立的,而非一個復合的接口。只有在一些特殊的設置的時候,比如負載均衡的時候會帶來麻煩。
all/ 或者{interface}/ 下至少有一個為True即可生效。(簡單來說,就是同一Linux上,如果有某些原因,有2塊網卡必須設置為同一網段,那麼默認情況下,會有一塊工作,而另外一塊不工作或者內核頻繁報告錯誤,這個時候就需要打開這個選項了)
arp_announce : INTEGER
默認為0
對網絡接口上本地IP地址發出的ARP回應作出相應級別的限制:
確定不同程度的限制,宣佈對來自本地源IP地址發出Arp請求的接口
0 - (默認) 在任意網絡接口上的任何本地地址
1 -儘量避免不在該網絡接口子網段的本地地址. 當發起ARP請求的源IP地址是被設置應該經由路由達到此網絡接口的時候很有用.此時會檢查來訪IP是否為所有接口上的子網段內ip之一.如果改來訪IP不屬於各個網絡接口上的子網段內,那麼將採用級別2的方式來進行處理.
2 - 對查詢目標使用最適當的本地地址.在此模式下將忽略這個IP數據包的源地址並嘗試選擇與能與該地址通信的本地地址.首要是選擇所有的網絡接口的子網中外出訪問子網中包含該目標IP地址的本地地址. 如果沒有合適的地址被發現,將選擇當前的發送網絡接口或其他的有可能接受到該ARP回應的網絡接口來進行發送
all/ 和{interface}/ 下兩者同時比較,取較大一個值生效.
提高約束級別有益於從指定的目標接受應答,而降低級別可以給予更多的arp查詢者以反饋信息(關於arp代理這一段我普遍翻譯地不好,去啃一下tcp/ip bible的卷一,然後再翻譯吧)
arp_ignore : INTEGER
默認為0
定義對目標地址為本地IP的ARP詢問不同的應答模式
0 - (默認值): 回應任何網絡接口上對任何本地IP地址的arp查詢請求(比如eth0=192.168.0.1/24,eth1=10.1.1.1/24,那麼即使eth0收到來自10.1.1.2這樣地址發起的對10.1.1.1 的arp查詢也會回應–而原本這個請求該是出現在eth1上,也該有eth1回應的)
1 - 只回答目標IP地址是來訪網絡接口本地地址的ARP查詢請求(比如eth0=192.168.0.1/24,eth1=10.1.1.1/24,那麼即使eth0收到來自10.1.1.2這樣地址發起的對192.168.0.1的查詢會回答,而對10.1.1.1 的arp查詢不會回應)
2 -只回答目標IP地址是來訪網絡接口本地地址的ARP查詢請求,且來訪IP必須在該網絡接口的子網段內(比如eth0=192.168.0.1/24,eth1=10.1.1.1/24,eth1收到來自10.1.1.2這樣地址發起的對192.168.0.1的查詢不會回答,而對192.168.0.2發起的對192.168.0.1的arp查詢會回應)
3 - 不回應該網絡界面的arp請求,而只對設置的唯一和連接地址做出回應(do not reply for local addresses configured with scope host,only resolutions for global and link addresses are replied 翻譯地似乎不好,這個我的去問問人)
4-7 - 保留未使用
8 -不回應所有(本地地址)的arp查詢
all/ 和{interface}/ 下兩者同時比較,取較大一個值生效.
tag : INTEGER
默認為0
你可以寫一些,可以視需要而定.(沒有明白這個是什麼作用,以後補充)
沒有留言:
張貼留言