Оптимизируем работу стека TCP
Добавим строки в файл конфигурации /etc/sysctl.conf
# Защита от smurf-атак
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Защита от неправильных ICMP-сообщений
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Защита от SYN-флуда
net.ipv4.tcp_syncookies = 1
# Запрещаем маршрутизацию от источника
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Защита от спуфинга
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Мы не маршрутизатор, если конечно это так
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Включаем ExecShield при атаках направленных на переполнение буфера или срыв стэка
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# Расширяем диапазон доступных портов
net.ipv4.ip_local_port_range = 2000 65000
# Увеличиваем максимальный размер TCP-буферов
#net.ipv4.tcp_rmem = 4096 87380 8388608
#net.ipv4.tcp_wmem = 4096 87380 8388608
#net.core.rmem_max = 8388608
#net.core.wmem_max = 8388608
# размер приемного буфера сокетов TCP
net.ipv4.tcp_rmem = 4096 87380 16777216
# резервируемой для буферов передачи сокета TCP
net.ipv4.tcp_wmem = 4096 65536 16777216
# Максимальный размер буфера приема данных для всех соединений.
net.core.rmem_max = 16777216
# Максимальный размер буфера передачи данных для всех соединений.
net.core.wmem_max = 16777216
# Разрешаем динамическое изменение размера окна TCP стека
net.ipv4.tcp_window_scaling = 1
# Разрешает временные метки протокола TCP.
net.ipv4.tcp_timestamps = 1
# Разрешить выборочные подтверждения протокола TCP.
net.ipv4.tcp_sack = 1
# Не сохранять результаты измерений TCP соединения в кеше при его закрытии
net.ipv4.tcp_no_metrics_save = 1
#net.ipv4.tcp_moderate_rcvbuf = 1
# recommended to increase this for 1000 BT or higher
# for 10 GigE, use this 30000
net.core.netdev_max_backlog = 2500
# Максимальное число открытых сокетов, ждущих соединения.
net.core.somaxconn = 5000
Добавим строки в файл конфигурации /etc/sysctl.conf
# Защита от smurf-атак
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Защита от неправильных ICMP-сообщений
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Защита от SYN-флуда
net.ipv4.tcp_syncookies = 1
# Запрещаем маршрутизацию от источника
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Защита от спуфинга
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Мы не маршрутизатор, если конечно это так
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Включаем ExecShield при атаках направленных на переполнение буфера или срыв стэка
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# Расширяем диапазон доступных портов
net.ipv4.ip_local_port_range = 2000 65000
# Увеличиваем максимальный размер TCP-буферов
#net.ipv4.tcp_rmem = 4096 87380 8388608
#net.ipv4.tcp_wmem = 4096 87380 8388608
#net.core.rmem_max = 8388608
#net.core.wmem_max = 8388608
# размер приемного буфера сокетов TCP
net.ipv4.tcp_rmem = 4096 87380 16777216
# резервируемой для буферов передачи сокета TCP
net.ipv4.tcp_wmem = 4096 65536 16777216
# Максимальный размер буфера приема данных для всех соединений.
net.core.rmem_max = 16777216
# Максимальный размер буфера передачи данных для всех соединений.
net.core.wmem_max = 16777216
# Разрешаем динамическое изменение размера окна TCP стека
net.ipv4.tcp_window_scaling = 1
# Разрешает временные метки протокола TCP.
net.ipv4.tcp_timestamps = 1
# Разрешить выборочные подтверждения протокола TCP.
net.ipv4.tcp_sack = 1
# Не сохранять результаты измерений TCP соединения в кеше при его закрытии
net.ipv4.tcp_no_metrics_save = 1
#net.ipv4.tcp_moderate_rcvbuf = 1
# recommended to increase this for 1000 BT or higher
# for 10 GigE, use this 30000
net.core.netdev_max_backlog = 2500
# Максимальное число открытых сокетов, ждущих соединения.
net.core.somaxconn = 5000
Комментариев нет:
Отправить комментарий