0.00
0 читателей, 13 топиков

sysctl

security.bsd.see_other_uids=0 : запрещаем пользователям просматривать чужие процессы (будут видны только свои)
security.bsd.see_other_gids=0 : тоже самое, только группам
net.inet.tcp.blackhole=2 : пускаем запросы на закрытые порты в «чёрные дыры», то есть просто напросто убиваем, без всяких оповещений. Очень помогает при сканнировании портов. Это для протокола tcp.
net.inet.udp.blackhole=1 : тоже самое, но только для udp
security.bsd.hardlink_check_uid=1 : пользователи могут делать hardlink только на свои файлы
security.bsd.hardlink_check_gid=1 : тоже самое, но только для групп.
net.link.ether.ipfw=1 : ipfw2 позволяет фильтровать по MAC адресам
net.inet.icmp.drop_redirect=1 : ICMP REDIRECT пакеты игнорируются
net.inet.icmp.bmcastecho=0 : для защиты от SMURF атак (ICMP echo request на broadcast адрес)
net.inet.icmp.maskrepl=0 : запрет широковещательного запроса временного штампа
kern.ipc.somaxconn=32768 : защита от synflood атак (увеличиваем количество полуоткрытых сокетов)
net.inet.tcp.sendspace=64395 : размера TCP окна (Увеличенный размер окна позволит более эффективно передавать данные)
net.inet.tcp.recvspace=64395 : размера TCP окна (Увеличенный размер окна позволит более эффективно передавать данные)
net.link.ether.inet.max_age=1200 : для защиты от подмены Arp-записей
net.inet.ip.sourceroute=0: защита для локальных IP
net.inet.ip.accept_sourceroute=0 : защита для локальных IP
net.inet.tcp.drop_synfin=1 : небольшая защита
net.inet.tcp.syncookies=1 : от доса
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
net.inet.ip.ttl=128 : Определяем TTL в заголовке IP-пакета
net.inet.tcp.rfc1323=1 : Указываем ОС изменять параметры window и timestamps в соответствии с RFC 1323.
net.inet.tcp.msl=15000
net.inet.icmp.icmplim=50
net.inet.tcp.log_in_vain=1
net.inet.udp.log_in_vain=1
net.link.ether.inet.log_arp_movements=1
net.inet.tcp.icmp_may_rst=0
security.bsd.conservative_signals=1
security.bsd.unprivileged_proc_debug=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_get_quota=0
vfs.usermount=0
kern.ps_showallprocs=0
net.inet.tcp.sack.enable=0
kern.ps_showallprocs=0: Разрешаем смотреть список всех процессов только root

Динамическая маршрутизация в FreeBSD с BIRD, Quagga

under


http://subnets.ru/wrapper.php?p=7
http://subnets.ru/blog/?p=1728
http://subnets.ru/blog/?p=19


http://subnets.ru/forum/viewtopic.php?f=3&t=371&start=30

hostname AS123456
password zebra
enable password zebra
log file /var/log/bgpd.log
router bgp 123456
bgp router-id 173.45.248.98
bgp log-neighbor-changes
no synchronization
network 48.151.4.0/23
neighbor 173.45.248.97 remote-as 45975
neighbor 178.45.248.97 next-hop-self
neighbor 178.45.248.97 route-map ROSTELEKOM_IN in
neighbor 178.45.248.97 route-map ROSTELEKOM_OUT out
!
ip prefix-list bogons description bogus nets
ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32
ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32
ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32
ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32
ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32
ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32
ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32
ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32
ip prefix-list default description default route
ip prefix-list default seq 10 permit 0.0.0.0/0
ip prefix-list our-CIDR-blocks seq 5 permit 48.151.4.0/23 le 32
ip prefix-list upstream-out seq 10 permit 48.151.4.0/23
!
ip as-path access-list 1 permit _6451[2-9]_
ip as-path access-list 1 permit _645[2-9][0-9]_
ip as-path access-list 1 permit _64[6-9][0-9][0-9]_
ip as-path access-list 1 permit _65[0-9][0-9][0-9]_
!
route-map ROSTELEKOM_IN deny 100
match as-path 1
!
route-map ROSTELEKOM_IN deny 110
match ip address prefix-list bogons
!
route-map ROSTELEKOM_IN deny 115
match ip address prefix-list default
!
route-map ROSTELEKOM_IN deny 120
match ip address prefix-list our-CIDR-blocks
!
route-map ROSTELEKOM_IN permit 200
set local-preference 100
!
route-map ROSTELEKOM_OUT permit 100
match ip address prefix-list upstream-out
!
route-map ROSTELEKOM_OUT deny 200



gw# vtysh

Hello, this is Quagga (version 0.99.21).
Copyright 1996-2005 Kunihiro Ishiguro, et al.

gw#
  clear        Reset functions
  configure    Configuration from vty interface
  copy         Copy from one file to another
  debug        Enable debug messages for specific or all part.
  disable      Turn off privileged mode command
  end          End current mode and change to enable mode
  exit         Exit current mode and down to previous mode
  list         Print command list
  no           Negate a command or set its defaults
  ping         Send echo messages
  quit         Exit current mode and down to previous mode
  show         Show running system information
  ssh          Open an ssh connection
  start-shell  Start UNIX shell
  telnet       Open a telnet connection
  terminal     Set terminal line parameters
  traceroute   Trace route to destination
  undebug      Disable debugging functions (see also 'debug')
  write        Write running configuration to memory, network, or terminal
gw#


получить список подсетей из кваги и залить по ftp

#!/bin/bash
# получить список подсетей AS и залить на фтп
file=/tmp/zebra/peering_as_subnets
echo "sh ip ro bgp" | vtysh | grep 127,0,0.1 | awk {'print $2'} > $file
echo "send $file" | pftp lt.lan
rm $file

оптимально не максимально для нагруженого сервера

оптимально не максимально для нагруженого сервера

/sbin/sysctl -w net.inet.ip.forwarding=1 
/sbin/sysctl -w net.inet.tcp.always_keepalive=1 
/sbin/sysctl -w kern.ipc.somaxconn=1024 
/sbin/sysctl -w kern.somaxconn=512 
/sbin/sysctl -w net.inet.tcp.delayed_ack=0 
/sbin/sysctl -w net.inet.ip.portrange.last=30000 

#samba
/sbin/sysctl -w net.local.stream.recvspace=65535 
/sbin/sysctl -w net.local.stream.sendspace=65535 
/sbin/sysctl -w net.inet.tcp.sendspace=65535 
/sbin/sysctl -w net.inet.tcp.recvspace=65535 


ядро:
maxusers 200 
options "MAXDSIZ=(512*1024*1024)" 
options "DFLDSIZ=(128*1024*1024)" 
options "NMBCLUSTERS=16384" 
options "CHILD_MAX=512" 
options "OPEN_MAX=512"