Re: Meilleurs params pour un routeur
hello,
>
>
> Franck a écrit :
>>
>> J'ai déjà mis ceci dans mon /etc/sysctl.conf :
> [...]
>> Ces valeurs vous paraissent-elles corectes ?
>
> Pas d'avis particuliers sur les valeurs, mais quelques remarques.
>
>> net.ipv4.netfilter.ip_conntrack_max=65500
>>
>> # Ne pas permettre les connexions TCP de plus de 2 jours
>> net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=172800
>
> Ça n'empêchera pas les connexions de plus de deux jours mais fera
> seulement oublier celles qui sont inactives depuis plus de deux jours.
>
>> # pour eviter des problèmes avec les serveurs très chargés
>> fs.file-max=16000
>
> Quel rapport avec la fonction de la machine ?
>
>> net.ipv4.ip_conntrack_max=65500
>
> C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
> de le mettre une deuxième fois.
>
>> # Refuser les adresses sources falsifiées ou non routables
>> net.ipv4.conf.all.rp_filter = 1
>
> J'attire ton attention sur le fait que ce type de paramètre existe aussi
> séparément pour chaque interface, et que le résultat pour une interface
> donnée est la combinaison des deux. Pour certains comme rp_filter c'est
> un ET logique, pour d'autres c'est un OU logique. Par exemple pour
> activer la vérification d'adresse source sur toutes les interfaces, il
> faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
> configuration IP des interfaces (la valeur dans conf.default.<parametre>
> est recopiée dans conf.<interface>.<parametre> lors de la création de ce
> dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
> 1 après la configuration IP.
Merci pour toutes ces remarques, je vais les mettre en application :)
Franck
--
http://www.linuxpourtous.com
Reply to: