Existe una relación correspondiente entre el archivo del kernel en / proc / sys y las variables en el archivo de configuración sysctl.conf.
Instrucciones de configuración:
Parámetro del kernel descripción del parámetro
net.inet.tcp.sendspace = 65536 El mayor espacio de búfer de datos TCP que se enviará
net.inet.tcp.recvspace = 65536 El mayor espacio de búfer TCP aceptado
net.inet.udp.sendspace = 65535 El mayor UDP aceptado tamaño del búfer
net.inet.udp.maxdgram = 65535 Tamaño máximo del búfer de datos UDP de envío
net.local.stream.sendspace = 65535 Espacio de envío de datos para la conexión de socket local
net.inet.tcp.rfc1323 = 1
net. inet.tcp.rfc1644 = 1
net.inet.tcp.rfc3042 = 1
net.inet.tcp.rfc3390 = 1 protocolo para acelerar el rendimiento de la red
kern.ipc.maxsockbuf = 2097152 búfer de socket máximo
kern.maxfiles = 65536 sistema El número máximo de archivos permitidos en
kern. maxfilesperproc = 32768 El número máximo de archivos que cada proceso puede abrir al mismo tiempo
net.inet.tcp.delayed_ack = 0 Cuando una computadora inicia una solicitud de conexión TCP, el sistema responderá con un paquete de respuesta ACK. Esta opción establece si se debe retrasar el paquete de datos de respuesta ACK y enviarlo junto con el paquete de datos que contiene los datos. En el caso de una red de alta velocidad y baja carga, el rendimiento mejorará ligeramente, pero cuando la conexión de red es deficiente, la otra computadora no puede obtener una respuesta. Continuará iniciando solicitudes de conexión, pero reducirá el rendimiento.
net.inet.icmp.drop_redirect = 1
net.inet.icmp.log_redirect = 1
net.inet.ip.redirect = 0
net.inet6.ip6.redirect = 0 deshabilitar la función de redireccionamiento ICMP
net.inet.icmp.bmcastecho = 0
net.inet.icmp.maskrepl = 0 Prevenir ICMP broadcast storm
net.inet.icmp.icmplim = 100 Limite el sistema que envía ICMP rate
net.inet.icmp.icmplim_output = 0
net.inet.tcp.drop_synfin = 1 parámetro de seguridad, solo se puede usar cuando el kernel está compilado con opciones TCP_DROP_SYNFIN.
net.inet.tcp.always_keepalive = 1 se establece en 1 para ayudar al sistema a borrar las conexiones TCP que normalmente no están desconectadas, lo que aumenta el uso de algo de ancho de banda de red, pero algunas conexiones muertas pueden eventualmente identificarse y borrarse. Las conexiones TCP muertas son un problema particular para los sistemas a los que acceden los usuarios de acceso telefónico, porque los usuarios a menudo desconectan los módems y cierran incorrectamente las conexiones activas
net.inet.ip.intr_queue_maxlen = 1000 si ve net.inet.ip. Intr_queue_drops está aumentando, es necesario para aumentar net.inet.ip.intr_queue_maxlen, es mejor cuando net.inet.ip.intr_queue_drops es 0.
net.inet.tcp.msl = 7500 para evitar ataques de DOS, el valor predeterminado es 30000
net.inet.tcp.blackhole = 2 Todos los paquetes enviados desde un puerto cerrado se reciben, descartan directamente, si se establece en 1, es solo para TCP paquete
net.inet.udp.blackhole = 1 Todos los paquetes UDP enviados desde un puerto cerrado se eliminan directamente
net.inet.tcp.inflight.enable = 1 para proporcionar almacenamiento en búfer para la conexión de datos de red
net.inet.ip.fastforwarding = 0 Si es encendido, después de que cada dirección de destino se reenvía una vez con éxito, sus datos se registrarán en la tabla de enrutamiento y la tabla de datos arp, lo que ahorrará tiempo de cálculo de enrutamiento, pero requerirá una gran cantidad de espacio de memoria del kernel para guardar la tabla de enrutamiento.
kern.polling.enable = 1 La compilación del kernel habilita las opciones de la función POLLING No se recomienda utilizar SMP con polling bajo carga alta y baja.
kern.ipc.somaxconn = 32768 El número de conexiones simultáneas, el valor predeterminado es 128, y el rango recomendado es 1024-4096. Cuanto mayor sea el número, mayor será la memoria ocupada.
security.bsd.see_other_uids = 0 prohíbe a los usuarios ver los procesos de otros usuarios
kern.securelevel = 0 establece el nivel de seguridad del kernel
net.inet.tcp.log_in_vain = 1 registra cualquier conexión TCP
net.inet.udp.log_in_vain = 1 registra cualquier UDP Connect
net.inet.udp.checksum = 1 para evitar ataques de paquetes udp incorrectos
net.inet.tcp.syncookies = 1 para evitar ataques DOS
kern.ipc.shm_use_phys = 1 Solo proporciona soporte de memoria física para subprocesos, requiriendo más de 256 megabytes de memoria
kern.ipc.shmmax = 67108864 La memoria compartida máxima que puede usar un hilo
kern.ipc.shmall = 32768 Número máximo de subprocesos
kern.coredump = 0 No se registra cuando el programa falla
net.local.stream.recvspace = 65536
net.local.dgram.maxdgram = 16384
net.local.dgram.recvspace = 65536 lo Espacio de recepción y envío de flujo de datos local
net.inet.tcp.mssdflt = 1460 Tamaño del segmento de datos del paquete, ADSL es 1452.
net.inet.tcp.inflight_enable = 1 proporciona almacenamiento en búfer para la conexión de datos de red
net.inet.tcp.minmss = 1460 El valor mínimo del segmento de paquetes de datos, ADSL es 1452
net.inet.raw.maxdgram = 65536 El número máximo de datos locales
net. inet.raw.recvspace = 65536 Espacio de recepción de flujo de datos local
net.inet.ip.fw.dyn_max = 65535 El número de reglas dinámicas de firewall ipfw, el valor predeterminado es 4096, aumentar este valor puede evitar que algunos virus envíen un gran número de conexiones TCP, lo que resulta en una falla al establecer Normalmente connect
net.inet.ipf.fr_tcpidletimeout = 864000 Establecer el tiempo de retención inactivo de la conexión TCP del firewall ipf, el valor predeterminado es 8640000 (120 horas)
net.ipv4.tcp_syncookies = 1 significa habilitar las cookies SYN. Cuando la cola de espera SYN se desborda, las cookies se habilitan para el procesamiento, lo que puede evitar una pequeña cantidad de ataques SYN. El valor predeterminado es 0, lo que significa que está cerrado;
net.ipv4.tcp_tw_reuse = 1 significa habilitar la reutilización. Permitir que los sockets TIME-WAIT se reutilicen para nuevas conexiones TCP. El valor predeterminado es 0, que significa cerrar;
net.ipv4.tcp_tw_recycle = 1 significa habilitar la recuperación rápida de sockets TIME-WAIT en conexiones TCP. El valor predeterminado es 0, lo que significa cerrar.
net.ipv4.tcp_fin_timeout = 30 significa que si el socket es cerrado por la solicitud local, este parámetro determina el tiempo que permanece en el estado FIN-WAIT-2.
net.ipv4.tcp_keepalive_time = 1200 indica la frecuencia con la que TCP envía mensajes keepalive cuando keepalive está habilitado. El valor predeterminado es 2 horas, cambie a 20 minutos.
net.ipv4.ip_local_port_range = 1024 65000 indica el rango de puertos utilizado para conexiones externas. El valor predeterminado es muy pequeño: 32768 a 61000, cambiado a 1024 a 65000.
net.ipv4.tcp_max_syn_backlog = 8192 representa la longitud de la cola SYN, el valor predeterminado es 1024, lo que aumenta la longitud de la cola a 8192, puede acomodar más conexiones de red esperando ser conectadas.
net.ipv4.tcp_max_tw_buckets = 5000 significa que el sistema mantiene el número máximo de sockets TIME_WAIT al mismo tiempo. Si se excede este número, el socket TIME_WAIT se borrará inmediatamente y se imprimirá un mensaje de advertencia. El valor predeterminado es 180000, cambiado a 5000. Para servidores como Apache y Nginx, los parámetros en las primeras líneas pueden reducir el número de sockets TIME_WAIT, pero para Squid, el efecto no es muy bueno. Este parámetro puede controlar el número máximo de sockets TIME_WAIT para evitar que el servidor Squid sea arrastrado a la muerte por un gran número de sockets TIME_WAIT.
net.ipv4.tcp_timestamps habilitar la marca de tiempo tcp