Old:Parametri a run-time per Netfilter: differenze tra le versioni
mNessun oggetto della modifica |
Nessun oggetto della modifica |
||
Riga 5: | Riga 5: | ||
Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time. | Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time. | ||
Per ciascuna di esse | Per ciascuna di esse è indicato: | ||
* nome della variabile; | * nome della variabile; | ||
* tipo (booleano, integer, ecc ...); | * tipo (booleano, integer, ecc ...); | ||
* una breve descrizione. | * una breve descrizione. | ||
Queste variabili possono essere impostate in vari modi: tramite scripts, editando /etc/sysctl.conf, usando l' apposito comando sysctl e | Queste variabili possono essere impostate in vari modi: tramite scripts, editando /etc/sysctl.conf, usando l' apposito comando sysctl e così via. | ||
Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di '''Documentation/networking/ip-sysctl.txt''' | Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di '''Documentation/networking/ip-sysctl.txt''' | ||
Riga 18: | Riga 18: | ||
==Variabili a run-time== | ==Variabili a run-time== | ||
'''ip-forward (boolean)''' | |||
Permette il forwarding dei pacchetti | Permette il forwarding dei pacchetti | ||
'''ipfrag_high_thresh (integer)''' | |||
Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da '''ipfrag_low_thresh | Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da '''ipfrag_low_thresh | ||
'''ipfrag_time (integer)''' | |||
Tempo massimo per mantenere un frammento IP in memoria | Tempo massimo per mantenere un frammento IP in memoria | ||
'''tcp_syn_retries (integer)''' | |||
Numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255) | |||
'''tcp_synack_retries (integer)''' | |||
Idem come sopra, ma per le connessioni passive | |||
'''tcp_keepalive_time (integer)''' | |||
Indica quanto spesso verrà inviato il messaggio TCP KEEPALIVE | |||
'''tcp_keepalive_probes (integer)''' | |||
Indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN | |||
'''tcp_keepalive_interval (integer)''' | |||
Indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il '''tcp_keepalive_probes''' si ottiene il timeout per il KILL di una connessione | |||
'''tcp_retries1 (integer)''' | |||
Numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va | |||
'''tcp_retries2 (integer)''' | |||
Numero di tentativi/richieste prima che una connessione TCP '''attiva''' venga terminata | |||
'''tcp_orphan_retries (integer)''' | |||
Idem come sopra, ma senza considerare attiva la connessione | |||
'''tcp_fin_timeout (integer)''' | |||
Indica per quanto tempo mantenere una connessione in stato FIN WAIT 2 | |||
'''tcp_max_tw_buckets (integer)''' | |||
Numero massimo di sockets simultanee in timewait mantenute dal sistema | |||
'''tcp_max_orphans (integer)''' | |||
Numero massimo di sockets TCP che possono rimanere non collegate a ''file handlers'' aperti dal sistema | |||
'''tcp_abort_on_overflow (boolean)''' | |||
Permette il reset di una connessione se un servizio in LISTENING è troppo lento nella risposta | |||
'''tcp_syncookies (boolean)''' | |||
Opzione valida solo se il kernel è stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo ''syn flood'' | |||
'''tcp_timestamps (boolean)''' | |||
Abilita/disabilita il timestamp | |||
'''tcp_ecn (boolean)''' | |||
Abilita/disabilita la notifica di possibili congestioni della rete | |||
'''ip_local_port_range (2 integers)''' | |||
Definisce l' intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore è l' estremo inferiore ed il secondo quello superiore dell' intervallo. Il valore di default dipende dalla memoria ram disponibile. | |||
'''ip_dynaddr (boolean)''' | |||
Se diverso da 0, abilita il supporto per gli indirizzi dinamici | |||
'''icmp_echo_ignore_all (boolean)''' | |||
Ignora i ''ping'' (ICMP ECHO REQUEST) | |||
'''icmp_echo_ignore_broadcasts (boolean)''' | |||
Se settato (deve esserlo anche il precedente) il sistema ignora i ''ping'' verso indirizzi di broadcast e multicast | |||
'''log_martians (boolean)''' | |||
Logga i pacchetti provenienti da indirizzi IP impossibili | |||
'''accept_redirects (boolean)''' | |||
Abilita la ricezione di pacchetti ICMP REDIRECT | |||
'''forwarding (boolean)''' | |||
Abilita il forwarding per una specifica interfaccia | |||
'''proxy_arp (boolean)''' | |||
Abilita il proxy ARP | |||
'''secure_redirects (boolean)''' | |||
Accetta ICMP REDIRECT solo dai gateways configurati | |||
---- | |||
Autore: [[Utente:Keltik|Keltik]] 13:28, Jun 11, 2005 (EDT) |
Versione delle 17:28, 11 giu 2005
Attenzione: questo articolo è ancora incompleto e in fase di scrittura da parte del suo autore.
Sentitevi liberi di contribuire, proponendo modifiche alla guida tramite l'apposita pagina di discussione, in modo da non interferire con il lavoro portato avanti sulla voce. Per altre informazioni si rimanda al template. |
Premessa
Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time.
Per ciascuna di esse è indicato:
- nome della variabile;
- tipo (booleano, integer, ecc ...);
- una breve descrizione.
Queste variabili possono essere impostate in vari modi: tramite scripts, editando /etc/sysctl.conf, usando l' apposito comando sysctl e così via.
Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di Documentation/networking/ip-sysctl.txt
Buona lettura!.
Variabili a run-time
ip-forward (boolean) Permette il forwarding dei pacchetti
ipfrag_high_thresh (integer) Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da ipfrag_low_thresh
ipfrag_time (integer) Tempo massimo per mantenere un frammento IP in memoria
tcp_syn_retries (integer) Numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255)
tcp_synack_retries (integer) Idem come sopra, ma per le connessioni passive
tcp_keepalive_time (integer) Indica quanto spesso verrà inviato il messaggio TCP KEEPALIVE
tcp_keepalive_probes (integer) Indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN
tcp_keepalive_interval (integer) Indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il tcp_keepalive_probes si ottiene il timeout per il KILL di una connessione
tcp_retries1 (integer) Numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va
tcp_retries2 (integer) Numero di tentativi/richieste prima che una connessione TCP attiva venga terminata
tcp_orphan_retries (integer) Idem come sopra, ma senza considerare attiva la connessione
tcp_fin_timeout (integer) Indica per quanto tempo mantenere una connessione in stato FIN WAIT 2
tcp_max_tw_buckets (integer) Numero massimo di sockets simultanee in timewait mantenute dal sistema
tcp_max_orphans (integer) Numero massimo di sockets TCP che possono rimanere non collegate a file handlers aperti dal sistema
tcp_abort_on_overflow (boolean) Permette il reset di una connessione se un servizio in LISTENING è troppo lento nella risposta
tcp_syncookies (boolean) Opzione valida solo se il kernel è stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo syn flood
tcp_timestamps (boolean) Abilita/disabilita il timestamp
tcp_ecn (boolean) Abilita/disabilita la notifica di possibili congestioni della rete
ip_local_port_range (2 integers) Definisce l' intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore è l' estremo inferiore ed il secondo quello superiore dell' intervallo. Il valore di default dipende dalla memoria ram disponibile.
ip_dynaddr (boolean) Se diverso da 0, abilita il supporto per gli indirizzi dinamici
icmp_echo_ignore_all (boolean) Ignora i ping (ICMP ECHO REQUEST)
icmp_echo_ignore_broadcasts (boolean) Se settato (deve esserlo anche il precedente) il sistema ignora i ping verso indirizzi di broadcast e multicast
log_martians (boolean) Logga i pacchetti provenienti da indirizzi IP impossibili
accept_redirects (boolean) Abilita la ricezione di pacchetti ICMP REDIRECT
forwarding (boolean) Abilita il forwarding per una specifica interfaccia
proxy_arp (boolean) Abilita il proxy ARP
secure_redirects (boolean) Accetta ICMP REDIRECT solo dai gateways configurati
Autore: Keltik 13:28, Jun 11, 2005 (EDT)