在Linux的發行版本中,都存在一個/proc/目錄,有的也稱它為Proc文件系統。在這個目錄中,包括了一些特殊的文件,不僅能用來反映內核的現行狀態和查看硬件信息,而且,有些文件還允許用戶來修改其中的內容,以調節內核的現行工作狀態,例如/proc/sys/子目錄下的文件。
與/proc/目錄中其它目錄不相同的是,/proc/sys/目錄下的文件不僅能提供系統的有關信息,而且還允許用戶立即停止或開啟內核的某些特性及功能。在/proc/sys/目錄中的/proc/sys/net/子目錄更是與網絡息息相關,我們可以通過設置此目錄下的某些文件來開啟與網絡應用相關的特殊功能,同時,也可以通過設置這個目錄下的某些文件來保護我們的網絡安全。因此,作為一名Linux下的網絡管理員,就很有必要詳細了解/proc/sys/net/目錄下文件的各種功能和設置方法,讓它能更好地為我們工作。
一、/proc/sys/net/目錄說明。
/proc/sys/net/目錄主要包括了許多網絡相關的主題,例如:appletalk/,ethernet/,ipv4/,ipx/,及ipv6/。通過改變這些目錄中的文件,網絡管理員能夠在系統運行時調整相關網絡參數。雖然在Linux中還有很多有關網絡的配置方法,但熟悉此目錄中的相關內容對網絡應用是有很大的幫助的。
在/proc/sys/net/目錄下有兩個目錄,與現在的IPV4網絡的運行息息相關,調整這兩個目錄下的某些文件的參數,能為我們的網絡應用帶到意想不到的效果,這兩個目錄就是/proc/sys/net/core/目錄和/proc/sys/net/ipv4/目錄,下面筆者將會對這兩個目錄中的重要文件分別作一個詳細的說明。
1、/proc/sys/net/core/目錄。
此目錄中包括許多設置用來控制Linux內核與網絡層的交互,即當網絡有什麼動作時,內核做出什麼樣的相應反應。
在其中有以下的一些重要文件:
(1)、message_burst:設置每十秒寫入多少次請求警告;此設置可以用來防止DOS攻擊,缺省設置為50;
(2)、message_cost:設置每一個警告的度量值,缺省為5,當用來防止DOS攻擊時設置為0;
(3)、netdev_max_backlog:設置當個別接口接收包的速度快於內核處理速度時允許的最大的包序列,缺省為300;
(4)、optmem_max:設置每個socket的最大補助緩存大小;
(5)、rmem_default:設置接收socket的缺省緩存大小(字節);
(6)、rmem_max:設置接收socket的最大緩存大小(字節);
(7)、wmem_default:設置發送的socket缺省緩存大小(字節);
(8)、wmem_max:設置發送的socket最大緩存大小(字節)。
2、/proc/sys/net/ipv4/目錄。
此目錄中的內容用來添加網絡設置,在其中的許多設置,可以用來阻止對系統的攻擊,或用來設置系統的路由功能。
其中有以下的這些重要的文件:
(1)、icmp_destunreach_rate、icmp_echoreply_rate、icmp_paramprob_rate、icmp_timeexeed_rate:設置發送和回應的最大icmp包的速率,最好不要為0;
(2)、icmp_echo_ignore_all和icmp_echo_ignore_broadcasts:設置內核不應答icmp echo包,或指定的廣播,值為0是允許回應,值為1是禁止;
(3)、ip_default_ttl:設置IP包的缺省生存時間(TTL),增加它的值能減少系統開銷;
(4)、ip_forward:設置接口是否可以轉發包,缺省為0,設置為1時允許網絡進行包轉發;
(5)、ip_local_port_range:當本地需要端口時指定TCP或UDP端口范圍。第一數為低端口,第二個數為高端口;
(6)、tcp_syn_retries:提供限制在建立連接時重新發送回應的SYN包的次數;
(7)、tcp_retries1:設置回應連入重送的次數,缺省為3;
(8)、tcp_retries2:設置允許重送的TCP包的次數,缺省為15。
