Old:Parametri a run-time per Netfilter
Premessa
Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time.
Per ciascuna di esse è indicato:
- nome della variabile;
- tipo (booleano, integer, ecc ...);
- una breve descrizione.
Queste variabili possono essere impostate in vari modi. Ad esempio potremmo scrivere in un terminale (o inserire in uno script):
# echo $VAL > /proc/sys/net/VARIABLE
dove $VAL è il valore booleano o intero che si vuole assegnare alla variabile VARIABLE.
Per impostare alcuni variabili al boot possiamo editare /etc/sysctl.conf aggiungendo:
net/VARIABLE = val
notare che è stato omesso /proc/sys.
Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di Documentation/networking/ip-sysctl.txt
Buona lettura!
Variabili a run-time
ip-forward (boolean) Permette il forwarding dei pacchetti
ipfrag_high_thresh (integer) Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da ipfrag_low_thresh
ipfrag_time (integer) Tempo massimo per mantenere un frammento IP in memoria
tcp_syn_retries (integer) Numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255)
tcp_synack_retries (integer) Idem come sopra, ma per le connessioni passive
tcp_keepalive_time (integer) Indica quanto spesso verrà inviato il messaggio TCP KEEPALIVE
tcp_keepalive_probes (integer) Indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN
tcp_keepalive_interval (integer) Indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il tcp_keepalive_probes si ottiene il timeout per il KILL di una connessione
tcp_retries1 (integer) Numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va
tcp_retries2 (integer) Numero di tentativi/richieste prima che una connessione TCP attiva venga terminata
tcp_orphan_retries (integer) Idem come sopra, ma senza considerare attiva la connessione
tcp_fin_timeout (integer) Indica per quanto tempo mantenere una connessione in stato FIN WAIT 2
tcp_max_tw_buckets (integer) Numero massimo di sockets simultanee in timewait mantenute dal sistema
tcp_max_orphans (integer) Numero massimo di sockets TCP che possono rimanere non collegate a file handlers aperti dal sistema
tcp_abort_on_overflow (boolean) Permette il reset di una connessione se un servizio in LISTENING è troppo lento nella risposta
tcp_syncookies (boolean) Opzione valida solo se il kernel è stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo syn flood
tcp_timestamps (boolean) Abilita/disabilita il timestamp
tcp_ecn (boolean) Abilita/disabilita la notifica di possibili congestioni della rete
ip_local_port_range (2 integers) Definisce l' intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore è l' estremo inferiore ed il secondo quello superiore dell' intervallo. Il valore di default dipende dalla memoria ram disponibile.
ip_dynaddr (boolean) Se diverso da 0, abilita il supporto per gli indirizzi dinamici
icmp_echo_ignore_all (boolean) Ignora i ping (ICMP ECHO REQUEST)
icmp_echo_ignore_broadcasts (boolean) Se settato (deve esserlo anche il precedente) il sistema ignora i ping verso indirizzi di broadcast e multicast
log_martians (boolean) Logga i pacchetti provenienti da indirizzi IP impossibili
accept_redirects (boolean) Abilita la ricezione di pacchetti ICMP REDIRECT
forwarding (boolean) Abilita il forwarding per una specifica interfaccia
proxy_arp (boolean) Abilita il proxy ARP
secure_redirects (boolean) Accetta ICMP REDIRECT solo dai gateways configurati
Autore: Keltik 13:28, Jun 11, 2005 (EDT)