Old:Parametri a run-time per Netfilter: differenze tra le versioni

Premessa

Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time.

Per ciascuna di esse è indicato:

• nome della variabile;
• tipo (booleano, integer, ecc ...);
• una breve descrizione.

Queste variabili possono essere impostate in vari modi: tramite scripts, editando /etc/sysctl.conf, usando l' apposito comando sysctl e così via.

Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di Documentation/networking/ip-sysctl.txt

Buona lettura!.

Variabili a run-time

ip-forward (boolean) Permette il forwarding dei pacchetti

ipfrag_high_thresh (integer) Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da ipfrag_low_thresh

ipfrag_time (integer) Tempo massimo per mantenere un frammento IP in memoria

tcp_syn_retries (integer) Numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255)

tcp_synack_retries (integer) Idem come sopra, ma per le connessioni passive

tcp_keepalive_time (integer) Indica quanto spesso verrà inviato il messaggio TCP KEEPALIVE

tcp_keepalive_probes (integer) Indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN

tcp_keepalive_interval (integer) Indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il tcp_keepalive_probes si ottiene il timeout per il KILL di una connessione

tcp_retries1 (integer) Numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va

tcp_retries2 (integer) Numero di tentativi/richieste prima che una connessione TCP attiva venga terminata

tcp_orphan_retries (integer) Idem come sopra, ma senza considerare attiva la connessione

tcp_fin_timeout (integer) Indica per quanto tempo mantenere una connessione in stato FIN WAIT 2

tcp_max_tw_buckets (integer) Numero massimo di sockets simultanee in timewait mantenute dal sistema

tcp_max_orphans (integer) Numero massimo di sockets TCP che possono rimanere non collegate a file handlers aperti dal sistema

tcp_abort_on_overflow (boolean) Permette il reset di una connessione se un servizio in LISTENING è troppo lento nella risposta

tcp_syncookies (boolean) Opzione valida solo se il kernel è stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo syn flood

tcp_timestamps (boolean) Abilita/disabilita il timestamp

tcp_ecn (boolean) Abilita/disabilita la notifica di possibili congestioni della rete

ip_local_port_range (2 integers) Definisce l' intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore è l' estremo inferiore ed il secondo quello superiore dell' intervallo. Il valore di default dipende dalla memoria ram disponibile.

ip_dynaddr (boolean) Se diverso da 0, abilita il supporto per gli indirizzi dinamici

icmp_echo_ignore_all (boolean) Ignora i ping (ICMP ECHO REQUEST)

icmp_echo_ignore_broadcasts (boolean) Se settato (deve esserlo anche il precedente) il sistema ignora i ping verso indirizzi di broadcast e multicast

log_martians (boolean) Logga i pacchetti provenienti da indirizzi IP impossibili

accept_redirects (boolean) Abilita la ricezione di pacchetti ICMP REDIRECT

forwarding (boolean) Abilita il forwarding per una specifica interfaccia

proxy_arp (boolean) Abilita il proxy ARP

secure_redirects (boolean) Accetta ICMP REDIRECT solo dai gateways configurati

Autore: Keltik 13:28, Jun 11, 2005 (EDT)