沸腾冰点
永恒春
发帖: 60244 来自: 海淀区,北京市
状态: 离线
精品: 66
|
于 2011-06-25 21:16 个人信息 发悄悄话 引用回复 编辑本帖 搜索发帖 复制本帖 收藏本帖 投诉该帖
大溪水 wrote: 这是我在服务器上使用的iptable的一部分 # 开启 TCP Flooding 的DoS 防攻击,但不适合 loading 已经很高的主机! echo "1" > /proc/sys/net/ipv4/tcp_syncookies # 增加网络吞吐能力 echo '2000 61000' > /proc/sys/net/ipv4/ip_local_port_range echo '30' > /proc/sys/net/ipv4/tcp_fin_timeout echo '1' > /proc/sys/net/ipv4/tcp_tw_recycle echo '1' > /proc/sys/net/ipv4/tcp_tw_reuse echo '2' > /proc/sys/net/ipv4/tcp_synack_retries echo '2' > /proc/sys/net/ipv4/tcp_syn_retries echo '1200' > /proc/sys/net/ipv4/tcp_keepalive_time echo '15' > /proc/sys/net/ipv4/tcp_keepalive_intvl echo '5' > /proc/sys/net/ipv4/tcp_keepalive_probes echo '5' > /proc/sys/net/ipv4/tcp_retries2 echo '2' > /proc/sys/net/ipv4/tcp_orphan_retries echo '64000' > /proc/sys/net/ipv4/tcp_max_orphans # 1*64K mem # 取消 ping 广播回应 echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # 开启逆向路径过滤,如果使用双网卡双线路则应该关闭 # for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo "1" > $i done # 开启记录有问题的封包 # record some problems packets. for i in /proc/sys/net/ipv4/conf/*/log_martians; do echo "1" > $i done # 取消来源路由 for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do echo "0" > $i done # 取消重定向路径功能 for i in /proc/sys/net/ipv4/conf/*/accept_redirects; do echo "0" > $i done # 取消路径重定向功能 for i in /proc/sys/net/ipv4/conf/*/send_redirects; do echo "0" > $i done 要应用以上设置要么保存为一个sh文档然后在rc.local里面开机运行(还需要开启iptable服务); 要么就编辑 /etc/sysctl.conf 文件添加上述值,不过要注意的是变量名会有变化(带上前缀): 比如开启tcp_syncookies的设定应该这样 net.ipv4.tcp_syncookies = 1 要查看系统当前设置值可使用如下命令: shell> sysctl -A | grep ipv4 shell> sysctl -A | grep ipv4 |grep syncookies 抄录了, 兄弟如果愿意,请提供您的eMail地址,加入mail讨论组。
你的影子无所不在 人的心事像一颗尘埃 落在过去飘向未来 掉进眼里就流出泪来
|