* "sysctl -w net.inet.tcp.msl=7500" - время ожидания ACK в ответ на SYN-ACK или FIN-ACK в миллисекундах;
* "sysctl -w net.inet.tcp.blackhole=2" - все пакеты на закрытый порт отбрасываются без отсылки RST;
* "sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для закрытых портов;
* "sysctl -w net.inet.icmp.icmplim=50" - защита от генерирование потока ответных пакетов,
максимальное количество ICMP Unreachable и TCP RST пакетов в секунду;
* "sysctl -w kern.ipc.somaxconn=32768" - увеличение числа одновременно открытых сокетов;
* Сборка ядра с опцией DEVICE_POLLING (далее: sysctl kern.polling.enable=1; sysctl kern.polling.user_frac=50);URL: http://www.bsdportal.ru/viewtopic.php?t=3322
Обсуждается: http://www.opennet.me/tips/info/748.shtml
А какой смысл device polling'а?
Написано доходчиво и внятно. Интересует, собственно, насколько работоспособно и не убьёт ли сетку на freebsd 5.3-stable. На боевом тазике по граблям ходить боязно, а сымитировать на подопытном сервере работу боевого тазика затруднительно.
Действительно красиво и просто. Так всё же делал ли кто это на боевой машине?
Я делал, кроме имхо бессмысленного девайс поллинга, только у меня еще и:options RANDOM_IP_ID
options TCP_DROP_SYNFINИ в sysctl:
security.bsd.see_other_uids=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ipc.somaxconn=1024
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet.tcp.sendspace=32768
net.inet.tcp.recvspace=32768
net.link.ether.inet.max_age=1200
net.inet.icmp.maskrepl=0
И как помогло? И как понять то , что действительно помогло?
Ксли у тебя сетевуха пулинг не поддерживает, это не значит что он бессмысленный девайс.
>sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для закрытых портова они что не отбрасываются? А что с ними происходит?