806
contributi
Old:Parametri a run-time per Netfilter: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
Old:Parametri a run-time per Netfilter (visualizza wikitesto)
Versione delle 17:28, 11 giu 2005
, 11 giu 2005nessun oggetto della modifica
mNessun oggetto della modifica |
Nessun oggetto della modifica |
||
| Riga 5: | Riga 5: | ||
Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time. | Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time. | ||
Per ciascuna di esse | Per ciascuna di esse è indicato: | ||
* nome della variabile; | * nome della variabile; | ||
* tipo (booleano, integer, ecc ...); | * tipo (booleano, integer, ecc ...); | ||
* una breve descrizione. | * una breve descrizione. | ||
Queste variabili possono essere impostate in vari modi: tramite scripts, editando /etc/sysctl.conf, usando l' apposito comando sysctl e | Queste variabili possono essere impostate in vari modi: tramite scripts, editando /etc/sysctl.conf, usando l' apposito comando sysctl e così via. | ||
Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di '''Documentation/networking/ip-sysctl.txt''' | Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di '''Documentation/networking/ip-sysctl.txt''' | ||
| Riga 18: | Riga 18: | ||
==Variabili a run-time== | ==Variabili a run-time== | ||
'''ip-forward (boolean)''' | |||
Permette il forwarding dei pacchetti | Permette il forwarding dei pacchetti | ||
'''ipfrag_high_thresh (integer)''' | |||
Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da '''ipfrag_low_thresh | Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da '''ipfrag_low_thresh | ||
'''ipfrag_time (integer)''' | |||
Tempo massimo per mantenere un frammento IP in memoria | Tempo massimo per mantenere un frammento IP in memoria | ||
'''tcp_syn_retries (integer)''' | |||
Numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255) | |||
'''tcp_synack_retries (integer)''' | |||
Idem come sopra, ma per le connessioni passive | |||
'''tcp_keepalive_time (integer)''' | |||
Indica quanto spesso verrà inviato il messaggio TCP KEEPALIVE | |||
'''tcp_keepalive_probes (integer)''' | |||
Indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN | |||
'''tcp_keepalive_interval (integer)''' | |||
Indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il '''tcp_keepalive_probes''' si ottiene il timeout per il KILL di una connessione | |||
'''tcp_retries1 (integer)''' | |||
Numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va | |||
'''tcp_retries2 (integer)''' | |||
Numero di tentativi/richieste prima che una connessione TCP '''attiva''' venga terminata | |||
'''tcp_orphan_retries (integer)''' | |||
Idem come sopra, ma senza considerare attiva la connessione | |||
'''tcp_fin_timeout (integer)''' | |||
Indica per quanto tempo mantenere una connessione in stato FIN WAIT 2 | |||
'''tcp_max_tw_buckets (integer)''' | |||
Numero massimo di sockets simultanee in timewait mantenute dal sistema | |||
'''tcp_max_orphans (integer)''' | |||
Numero massimo di sockets TCP che possono rimanere non collegate a ''file handlers'' aperti dal sistema | |||
'''tcp_abort_on_overflow (boolean)''' | |||
Permette il reset di una connessione se un servizio in LISTENING è troppo lento nella risposta | |||
'''tcp_syncookies (boolean)''' | |||
Opzione valida solo se il kernel è stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo ''syn flood'' | |||
'''tcp_timestamps (boolean)''' | |||
Abilita/disabilita il timestamp | |||
'''tcp_ecn (boolean)''' | |||
Abilita/disabilita la notifica di possibili congestioni della rete | |||
'''ip_local_port_range (2 integers)''' | |||
Definisce l' intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore è l' estremo inferiore ed il secondo quello superiore dell' intervallo. Il valore di default dipende dalla memoria ram disponibile. | |||
'''ip_dynaddr (boolean)''' | |||
Se diverso da 0, abilita il supporto per gli indirizzi dinamici | |||
'''icmp_echo_ignore_all (boolean)''' | |||
Ignora i ''ping'' (ICMP ECHO REQUEST) | |||
'''icmp_echo_ignore_broadcasts (boolean)''' | |||
Se settato (deve esserlo anche il precedente) il sistema ignora i ''ping'' verso indirizzi di broadcast e multicast | |||
'''log_martians (boolean)''' | |||
Logga i pacchetti provenienti da indirizzi IP impossibili | |||
'''accept_redirects (boolean)''' | |||
Abilita la ricezione di pacchetti ICMP REDIRECT | |||
'''forwarding (boolean)''' | |||
Abilita il forwarding per una specifica interfaccia | |||
'''proxy_arp (boolean)''' | |||
Abilita il proxy ARP | |||
'''secure_redirects (boolean)''' | |||
Accetta ICMP REDIRECT solo dai gateways configurati | |||
---- | |||
Autore: [[Utente:Keltik|Keltik]] 13:28, Jun 11, 2005 (EDT) | |||