Тюнинг сетевой подсистемы, борьба с DoS атаками
net.inet.tcp.log_in_vain,
net.inet.udp.log_in_vain
если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов; сильно забивает /var/log/messages
net.inet.tcp.blackhole - если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);
kern. ipc. nmbclusters — если по «netstat -m» mbufs в «peak» приближается к «max», то число сетевых буферов нужно увеличить (kern. ipc. nmbclusters=N в /boot/locader. conf);
net. inet. tcp. sack. enable — если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;
net. link. ether. inet. max_age — время жизни записи в IP route кэше, рекомендуется уменьшить для ослабления эффекта от DoS атак через ARP флуд;
ICMP, соединение
net. inet. icmp. icmplim — задается максимальное число ICMP «Unreachable» и TCP RST пакетов, которое может быть отправлено в секунду, net. inet. icmp. icmplim_output=0 позволяет не отражать в логах факты превышения лимита;
net. inet. tcp. icmp_may_rst, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения «ICMP unreachable»;
net. inet. ip. redirect — если 0, то нет реакции на ICMP REDIRECT пакеты;net. inet. icmp. log_redirect — если 1, то все ICMP REDIRECT пакеты отражаются в логе;
net. inet. icmp. drop_redirect — если 1, то ICMP REDIRECT пакеты игнорируются;
net. inet. tcp. icmp_may_rst — если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;
net. inet. icmp. bmcastecho — для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;
$ uname -rs
FreeBSD 6.4-STABLE
$ cat /etc/sysctl.conf
kern.polling.enable=1
kern.ipc.maxsockbuf=2097152
kern.ipc.somaxconn=8192
kern.maxfiles=65536
kern.maxfilesperproc=32768
net.inet.tcp.delayed_ack=0
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
net.inet.udp.recvspace=65536
net.inet.udp.maxdgram=57344
net.local.stream.sendspace=65536
net.local.stream.recvspace=65536
kern.random.sys.harvest.ethernet=0
kern.random.sys.harvest.interrupt=0
net.inet.tcp.log_in_vain,
net.inet.udp.log_in_vain
если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов; сильно забивает /var/log/messages
net.inet.tcp.blackhole - если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);
kern. ipc. nmbclusters — если по «netstat -m» mbufs в «peak» приближается к «max», то число сетевых буферов нужно увеличить (kern. ipc. nmbclusters=N в /boot/locader. conf);
net. inet. tcp. sack. enable — если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;
net. link. ether. inet. max_age — время жизни записи в IP route кэше, рекомендуется уменьшить для ослабления эффекта от DoS атак через ARP флуд;
ICMP, соединение
net. inet. icmp. icmplim — задается максимальное число ICMP «Unreachable» и TCP RST пакетов, которое может быть отправлено в секунду, net. inet. icmp. icmplim_output=0 позволяет не отражать в логах факты превышения лимита;
net. inet. tcp. icmp_may_rst, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения «ICMP unreachable»;
net. inet. ip. redirect — если 0, то нет реакции на ICMP REDIRECT пакеты;net. inet. icmp. log_redirect — если 1, то все ICMP REDIRECT пакеты отражаются в логе;
net. inet. icmp. drop_redirect — если 1, то ICMP REDIRECT пакеты игнорируются;
net. inet. tcp. icmp_may_rst — если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;
net. inet. icmp. bmcastecho — для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;
$ uname -rs
FreeBSD 6.4-STABLE
$ cat /etc/sysctl.conf
kern.polling.enable=1
kern.ipc.maxsockbuf=2097152
kern.ipc.somaxconn=8192
kern.maxfiles=65536
kern.maxfilesperproc=32768
net.inet.tcp.delayed_ack=0
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
net.inet.udp.recvspace=65536
net.inet.udp.maxdgram=57344
net.local.stream.sendspace=65536
net.local.stream.recvspace=65536
kern.random.sys.harvest.ethernet=0
kern.random.sys.harvest.interrupt=0
