Meilleurs params pour un routeur

To: debian-user-french@lists.debian.org
Subject: Meilleurs params pour un routeur
From: "Franck" <franck@linuxpourtous.com>
Date: Sat, 31 Mar 2007 11:51:24 +0200 (CEST)
Message-id: <[🔎] 43225.82.233.132.100.1175334684.squirrel@webmail.linuxpourtous.com>
Reply-to: franck@linuxpourtous.com

Salut la liste,

je vais mettre en place un routeur/firewall basé sur Debian sur machine
soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps)

Ce que ce routeur va fait :
1/ one-to-one NAT sur une class C (translation IP publiques / IP privées)
2/ firewall avec shorewall
3/ les règles sont assez basiques :
   - ouverture de tout pour 2-3 IP fixes
   - ouverture des ports 53/80/443/25/110 pour internet
   - ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql,
postgres)
4/ ce firewall peut router/commuter énormement de paquets car les serveurs
qui sont derrière sont à forts trafics

J'ai déjà mis deci dans mon /etc/sysctl.conf :

# Set the ip_conntrack limit
net.ipv4.netfilter.ip_conntrack_max=65500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=172800

#
# Set the arp limit
# pour eviter Neighbour table overflow
net.ipv4.neigh.default.gc_thresh1=512
net.ipv4.neigh.default.gc_thresh2=2048
net.ipv4.neigh.default.gc_thresh3=4096

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max=16000
net.ipv4.ip_conntrack_max=65500
#net.ipv4.ip_conntrack_max=100000

# Ignorer les mauvais messages d'erreurs ICMP
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignorer les messages de diffusion ICMP
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Journaliser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.log_martians = 1

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1

# Refuser les messages ICMP redirect
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

# Refuser le routage source
net.ipv4.conf.all.accept_source_route = 0

# Se proteger des attaques de type Syn Flood
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_ecn = 1

Ces valeurs vous paraissent-elles corectes ?
Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ?

Tout retour d'expérience/conseils sont les bienvenus ...

Merci

Franck
-- 
http://www.linuxpourtous.com

Reply to:

Follow-Ups:
- Re: Meilleurs params pour un routeur
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: petite antenne tnt externe en usb 2 pour debian
Next by Date: Installer plusieurs Linux en multiboot
Previous by thread: Re: recherche de motifs dans aptitude?
Next by thread: Re: Meilleurs params pour un routeur
Index(es):
- Date
- Thread