Old:Parametri a run-time per Netfilter: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
Nessun oggetto della modifica
Nessun oggetto della modifica
Riga 1: Riga 1:
{{Versioni compatibili|Debian Etch 4.0<br/>Debian Lenny 5.0<br/>Debian Squeeze<br/>Debian Sid}}<br/><br/><br/>
{{Versioni compatibili|Lenny|Squeeze|Wheezy|Sid}}<br/><br/><br/>
__TOC__
__TOC__
==Premessa==
==Premessa==

Versione delle 14:17, 17 feb 2011

Debian-swirl.png Versioni Compatibili

Debian 5 "lenny"
Debian 6 "squeeze"
Debian 7 "wheezy"
ERRORE: utilizzare "unstable_2024" come parametro al posto di " Sid "! Vedi qui.




Premessa

Di seguito riporto un elenco delle principali variabili del kernel relative a Netfilter impostabili a run-time.

Per ciascuna di esse è indicato:

  • nome della variabile;
  • tipo (booleano, integer, ecc);
  • una breve descrizione.

Queste variabili possono essere impostate in vari modi. Ad esempio potremmo scrivere in un terminale (o inserire in uno script):

# echo $VAL > /proc/sys/net/VARIABLE

dove $VAL è il valore booleano o intero che si vuole assegnare alla variabile VARIABLE.

Per impostare alcune variabili al boot possiamo editare il file /etc/sysctl.conf aggiungendo:

 net/VARIABLE = val

notare che è stato omesso /proc/sys.

Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all'interno di Documentation/networking/ip-sysctl.txt

Buona lettura!

Variabili a run-time

ip-forward (boolean): permette il forwarding dei pacchetti;

ipfrag_high_thresh (integer): massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da ipfrag_low_thresh;

ipfrag_time (integer): tempo massimo per mantenere un frammento IP in memoria;

tcp_syn_retries (integer): numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255);

tcp_synack_retries (integer): idem come sopra, ma per le connessioni passive;

tcp_keepalive_time (integer): indica quanto spesso verrà inviato il messaggio TCP KEEPALIVE;

tcp_keepalive_probes (integer): indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN;

tcp_keepalive_interval (integer): indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il tcp_keepalive_probes si ottiene il timeout per il KILL di una connessione;

tcp_retries1 (integer): numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va;

tcp_retries2 (integer): numero di tentativi/richieste prima che una connessione TCP attiva venga terminata;

tcp_orphan_retries (integer): idem come sopra, ma senza considerare attiva la connessione;

tcp_fin_timeout (integer): indica per quanto tempo mantenere una connessione in stato FIN WAIT 2;

tcp_max_tw_buckets (integer): numero massimo di socket simultanee in timewait mantenute dal sistema;

tcp_max_orphans (integer): numero massimo di socket TCP che possono rimanere non collegate a file handlers aperti dal sistema;

tcp_abort_on_overflow (boolean): permette il reset di una connessione se un servizio in LISTENING è troppo lento nella risposta;

tcp_syncookies (boolean): opzione valida solo se il kernel è stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo syn flood;

tcp_timestamps (boolean): abilita/disabilita il timestamp;

tcp_ecn (boolean): abilita/disabilita la notifica di possibili congestioni della rete;

ip_local_port_range (2 integers): definisce l'intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore è l'estremo inferiore ed il secondo quello superiore dell'intervallo. Il valore di default dipende dalla memoria ram disponibile;

ip_dynaddr (boolean): se diverso da 0, abilita il supporto per gli indirizzi dinamici;

icmp_echo_ignore_all (boolean): ignora i ping (ICMP ECHO REQUEST);

icmp_echo_ignore_broadcasts (boolean): se settato (deve esserlo anche il precedente) il sistema ignora i ping verso indirizzi di broadcast e multicast;

log_martians (boolean): logga i pacchetti provenienti da indirizzi IP impossibili;

accept_redirects (boolean): abilita la ricezione di pacchetti ICMP REDIRECT;

forwarding (boolean): abilita il forwarding per una specifica interfaccia;

proxy_arp (boolean): abilita il proxy ARP;

secure_redirects (boolean): accetta ICMP REDIRECT solo dai gateway configurati.


Autore: Keltik 13:28, Jun 11, 2005 (EDT)