Parametri a run-time per Netfilter
Da Guide@Debianizzati.Org.
 Versioni compatibili
Debian 5.0 "Lenny"
|
Indice |
Premessa
Di seguito riporto un elenco delle principali variabili del kernel relative a Netfilter impostabili a run-time.
Per ciascuna di esse è indicato:
- nome della variabile;
- tipo (booleano, integer, ecc);
- una breve descrizione.
Queste variabili possono essere impostate in vari modi. Ad esempio potremmo scrivere in un terminale (o inserire in uno script):
# echo $VAL > /proc/sys/net/VARIABLE
dove $VAL è il valore booleano o intero che si vuole assegnare alla variabile VARIABLE.
Per impostare alcune variabili al boot possiamo editare il file /etc/sysctl.conf aggiungendo:
net/VARIABLE = val
notare che è stato omesso /proc/sys.
Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all'interno di Documentation/networking/ip-sysctl.txt
Buona lettura!
Variabili a run-time
ip-forward (boolean): permette il forwarding dei pacchetti;
ipfrag_high_thresh (integer): massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da ipfrag_low_thresh;
ipfrag_time (integer): tempo massimo per mantenere un frammento IP in memoria;
tcp_syn_retries (integer): numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255);
tcp_synack_retries (integer):
idem come sopra, ma per le connessioni passive;
tcp_keepalive_time (integer):
indica quanto spesso verrà inviato il messaggio TCP KEEPALIVE;
tcp_keepalive_probes (integer):
indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN;
tcp_keepalive_interval (integer):
indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il tcp_keepalive_probes si ottiene il timeout per il KILL di una connessione;
tcp_retries1 (integer):
numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va;
tcp_retries2 (integer):
numero di tentativi/richieste prima che una connessione TCP attiva venga terminata;
tcp_orphan_retries (integer):
idem come sopra, ma senza considerare attiva la connessione;
tcp_fin_timeout (integer):
indica per quanto tempo mantenere una connessione in stato FIN WAIT 2;
tcp_max_tw_buckets (integer):
numero massimo di socket simultanee in timewait mantenute dal sistema;
tcp_max_orphans (integer):
numero massimo di socket TCP che possono rimanere non collegate a file handlers aperti dal sistema;
tcp_abort_on_overflow (boolean):
permette il reset di una connessione se un servizio in LISTENING è troppo lento nella risposta;
tcp_syncookies (boolean):
opzione valida solo se il kernel è stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo syn flood;
tcp_timestamps (boolean):
abilita/disabilita il timestamp;
tcp_ecn (boolean):
abilita/disabilita la notifica di possibili congestioni della rete;
ip_local_port_range (2 integers):
definisce l'intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore è l'estremo inferiore ed il secondo quello superiore dell'intervallo. Il valore di default dipende dalla memoria ram disponibile;
ip_dynaddr (boolean):
se diverso da 0, abilita il supporto per gli indirizzi dinamici;
icmp_echo_ignore_all (boolean):
ignora i ping (ICMP ECHO REQUEST);
icmp_echo_ignore_broadcasts (boolean):
se settato (deve esserlo anche il precedente) il sistema ignora i ping verso indirizzi di broadcast e multicast;
log_martians (boolean):
logga i pacchetti provenienti da indirizzi IP impossibili;
accept_redirects (boolean):
abilita la ricezione di pacchetti ICMP REDIRECT;
forwarding (boolean):
abilita il forwarding per una specifica interfaccia;
proxy_arp (boolean):
abilita il proxy ARP;
secure_redirects (boolean):
accetta ICMP REDIRECT solo dai gateway configurati.
| Guida scritta da: Keltik 13:28, Jun 11, 2005 (EDT) |
|
| Verificata da: | |
| Estesa da: | |
|
Verificare ed estendere la guida | Cos'è una guida Debianized | |
Debianized 20%
