Meilleurs params pour un routeur
Salut la liste,
je vais mettre en place un routeur/firewall basé sur Debian sur machine
soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps)
Ce que ce routeur va fait :
1/ one-to-one NAT sur une class C (translation IP publiques / IP privées)
2/ firewall avec shorewall
3/ les règles sont assez basiques :
- ouverture de tout pour 2-3 IP fixes
- ouverture des ports 53/80/443/25/110 pour internet
- ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql,
postgres)
4/ ce firewall peut router/commuter énormement de paquets car les serveurs
qui sont derrière sont à forts trafics
J'ai déjà mis deci dans mon /etc/sysctl.conf :
# Set the ip_conntrack limit
net.ipv4.netfilter.ip_conntrack_max=65500
# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=172800
#
# Set the arp limit
# pour eviter Neighbour table overflow
net.ipv4.neigh.default.gc_thresh1=512
net.ipv4.neigh.default.gc_thresh2=2048
net.ipv4.neigh.default.gc_thresh3=4096
# pour eviter des problèmes avec les serveurs très chargés
fs.file-max=16000
net.ipv4.ip_conntrack_max=65500
#net.ipv4.ip_conntrack_max=100000
# Ignorer les mauvais messages d'erreurs ICMP
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignorer les messages de diffusion ICMP
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Journaliser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.log_martians = 1
# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1
# Refuser les messages ICMP redirect
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
# Refuser le routage source
net.ipv4.conf.all.accept_source_route = 0
# Se proteger des attaques de type Syn Flood
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_ecn = 1
Ces valeurs vous paraissent-elles corectes ?
Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ?
Tout retour d'expérience/conseils sont les bienvenus ...
Merci
Franck
--
http://www.linuxpourtous.com
Reply to: