Re: Meilleurs params pour un routeur

[Pascal Hambourg <pascal.mail@plouf.fr.eu.org>]

Franck a écrit :
> J'ai déjà mis ceci dans mon /etc/sysctl.conf :
[...]
> Ces valeurs vous paraissent-elles corectes ?

Pas d'avis particuliers sur les valeurs, mais quelques remarques.

> net.ipv4.netfilter.ip_conntrack_max=65500
>
> # Ne pas permettre les connexions TCP de plus de 2 jours
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=172800

Ça n'empêchera pas les connexions de plus de deux jours mais fera 
seulement oublier celles qui sont inactives depuis plus de deux jours.

> # pour eviter des problèmes avec les serveurs très chargés
> fs.file-max=16000

Quel rapport avec la fonction de la machine ?

> net.ipv4.ip_conntrack_max=65500

C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile 
de le mettre une deuxième fois.

> # Refuser les adresses sources falsifiées ou non routables
> net.ipv4.conf.all.rp_filter = 1

J'attire ton attention sur le fait que ce type de paramètre existe aussi 
séparément pour chaque interface, et que le résultat pour une interface 
donnée est la combinaison des deux. Pour certains comme rp_filter c'est 
un ET logique, pour d'autres c'est un OU logique. Par exemple pour 
activer la vérification d'adresse source sur toutes les interfaces, il 
faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la 
configuration IP des interfaces (la valeur dans conf.default.<parametre> 
est recopiée dans conf.<interface>.<parametre> lors de la création de ce 
dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à 
1 après la configuration IP.