Old:Parametri a run-time per Netfilter
Attenzione: questo articolo è ancora incompleto e in fase di scrittura da parte del suo autore.
Sentitevi liberi di contribuire, proponendo modifiche alla guida tramite l'apposita pagina di discussione, in modo da non interferire con il lavoro portato avanti sulla voce. Per altre informazioni si rimanda al template. |
Premessa
Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time.
Per ciascuna di esse è indicato:
- nome della variabile;
- tipo (booleano, integer, ecc ...);
- una breve descrizione.
Queste variabili possono essere impostate in vari modi: tramite scripts, editando /etc/sysctl.conf, usando l' apposito comando sysctl e così via.
Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di Documentation/networking/ip-sysctl.txt
Buona lettura!.
Variabili a run-time
ip-forward (boolean) Permette il forwarding dei pacchetti
ipfrag_high_thresh (integer) Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da ipfrag_low_thresh
ipfrag_time (integer) Tempo massimo per mantenere un frammento IP in memoria
tcp_syn_retries (integer) Numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255)
tcp_synack_retries (integer) Idem come sopra, ma per le connessioni passive
tcp_keepalive_time (integer) Indica quanto spesso verrà inviato il messaggio TCP KEEPALIVE
tcp_keepalive_probes (integer) Indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN
tcp_keepalive_interval (integer) Indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il tcp_keepalive_probes si ottiene il timeout per il KILL di una connessione
tcp_retries1 (integer) Numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va
tcp_retries2 (integer) Numero di tentativi/richieste prima che una connessione TCP attiva venga terminata
tcp_orphan_retries (integer) Idem come sopra, ma senza considerare attiva la connessione
tcp_fin_timeout (integer) Indica per quanto tempo mantenere una connessione in stato FIN WAIT 2
tcp_max_tw_buckets (integer) Numero massimo di sockets simultanee in timewait mantenute dal sistema
tcp_max_orphans (integer) Numero massimo di sockets TCP che possono rimanere non collegate a file handlers aperti dal sistema
tcp_abort_on_overflow (boolean) Permette il reset di una connessione se un servizio in LISTENING è troppo lento nella risposta
tcp_syncookies (boolean) Opzione valida solo se il kernel è stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo syn flood
tcp_timestamps (boolean) Abilita/disabilita il timestamp
tcp_ecn (boolean) Abilita/disabilita la notifica di possibili congestioni della rete
ip_local_port_range (2 integers) Definisce l' intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore è l' estremo inferiore ed il secondo quello superiore dell' intervallo. Il valore di default dipende dalla memoria ram disponibile.
ip_dynaddr (boolean) Se diverso da 0, abilita il supporto per gli indirizzi dinamici
icmp_echo_ignore_all (boolean) Ignora i ping (ICMP ECHO REQUEST)
icmp_echo_ignore_broadcasts (boolean) Se settato (deve esserlo anche il precedente) il sistema ignora i ping verso indirizzi di broadcast e multicast
log_martians (boolean) Logga i pacchetti provenienti da indirizzi IP impossibili
accept_redirects (boolean) Abilita la ricezione di pacchetti ICMP REDIRECT
forwarding (boolean) Abilita il forwarding per una specifica interfaccia
proxy_arp (boolean) Abilita il proxy ARP
secure_redirects (boolean) Accetta ICMP REDIRECT solo dai gateways configurati
Autore: Keltik 13:28, Jun 11, 2005 (EDT)