偶尔在网上看到这篇文章,像我这样的业余手正需用。
作者:iceblood
网址:http://bbs.nettf.net/forums/index.php?showtopic=29426
FreeBSD系统优化部分内核参数调整中文注释
2007-04-02 12:03
很多人想优化自己的FreeBSD,特别是在网络性能以及内核调整上,因为这些是最直接的优化方式。在这里我收集整理并用中文注释了一下,相信很多人用得到。
CODE
#最大的待发送TCP数据缓冲区空间
net.inet.tcp.sendspace=65536
#最大的接受TCP缓冲区空间
net.inet.tcp.recvspace=65536
#最大的接受UDP缓冲区大小
net.inet.udp.sendspace=65535
#最大的发送UDP数据缓冲区大小
net.inet.udp.maxdgram=65535
#本地套接字连接的数据发送空间
net.local.stream.sendspace=65535
#加快网络性能的协议
net.inet.tcp.rfc1323=1
net.inet.tcp.rfc1644=1
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
#最大的套接字缓冲区
kern.ipc.maxsockbuf=2097152
#系统中允许的最多文件数量
kern.maxfiles=65536
#每个进程能够同时打开的最大文件数量
kern.maxfilesperproc=32768
#当一台计算机发起TCP连接请求时,系统会回应ACK应答数据包。
#该选项设置是否延迟ACK应答数据包,把它和包含数据的数据包一起发送,
#在高速网络和低负载的情况下会略微提高性能,但在网络连接较差的时候,
#对方计算机得不到应答会持续发起连接请求,反而会降低性能。
net.inet.tcp.delayed_ack=0
#屏蔽ICMP重定向功能
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
#防止ICMP广播风暴
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
#限制系统发送ICMP速率
net.inet.icmp.icmplim=100
#安全参数,编译内核的时候加了options TCP_DROP_SYNFIN才可以用
net.inet.icmp.icmplim_output=0
net.inet.tcp.drop_synfin=1
#设置为1会帮助系统清除没有正常断开的TCP连接,这增加了一些网络带宽的使用,但是一些死掉的连接最终能被识别并清除。死的TCP连接是被拨号用户存取的系统的一个特别的问题,因为用户经常断开modem而不正确的关闭活动的连接
net.inet.tcp.always_keepalive=1
#若看到net.inet.ip.intr_queue_drops这个在增加,就要调大net.inet.ip.intr_queue_maxlen,为0最好
net.inet.ip.intr_queue_maxlen=1000
#防止DOS攻击,默认为30000
net.inet.tcp.msl=7500
#接收到一个已经关闭的端口发来的所有包,直接drop,如果设置为1则是只针对TCP包
net.inet.tcp.blackhole=2
#接收到一个已经关闭的端口发来的所有UDP包直接drop
net.inet.udp.blackhole=1
#为网络数据连接时提供缓冲
net.inet.tcp.inflight.enable=1
#如果打开的话每个目标地址一次转发成功以后它的数据都将被记录进路由表和arp数据表,节约路由的计算时间,但会需要大量的内核内存空间来保存路由表
net.inet.ip.fastforwarding=0
##kernel编译打开options POLLING功能,高负载情况下使用低负载不推荐
##SMP不能和polling一起用
#kern.polling.enable=1
#并发连接数,默认为128,推荐在1024-4096之间,数字越大占用内存也越大
kern.ipc.somaxconn=32768
#禁止用户查看其他用户的进程
security.bsd.see_other_uids=0
#设置kernel安全级别
kern.securelevel=0
#记录下任何TCP连接
net.inet.tcp.log_in_vain=1
#记录下任何UDP连接
net.inet.udp.log_in_vain=1
#防止不正确的udp包的攻击
net.inet.udp.checksum=1
#防止DOS攻击
net.inet.tcp.syncookies=1
#仅为线程提供物理内存支持,需要256兆以上内存
kern.ipc.shm_use_phys=1
# 线程可使用的最大共享内存
kern.ipc.shmmax=67108864
# 最大线程数量
kern.ipc.shmall=32768
# 程序崩溃时不记录
kern.coredump=0
# lo本地数据流接收和发送空间
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 数据包数据段大小,ADSL为1452。
net.inet.tcp.mssdflt=1460
# 为网络数据连接时提供缓冲
net.inet.tcp.inflight_enable=1
# 数据包数据段最小值,ADSL为1452
net.inet.tcp.minmss=1460
# 本地数据最大数量
net.inet.raw.maxdgram=65536
# 本地数据流接收空间
net.inet.raw.recvspace=65536
#ipfw防火墙动态规则数量,默认为4096,增大该值可以防止某些病毒发送大量TCP连接,导致不能建立正常连接
net.inet.ip.fw.dyn_max=65535
#设置ipf防火墙TCP连接空闲保留时间,默认8640000(120小时)
net.inet.ipf.fr_tcpidletimeout=864000[url=http://]http://bbs.nettf.net/forums/index.php?showtopic=29426[/url]
[[i] 本帖最后由 lsstarboy 于 2007-4-6 15:00 编辑 [/i]]
刚才把这篇文章转到我的CUblog 的时候,提示有非法字符不能提交.排除法修改为在倒数第三行中加一空格(net.inet.ip.fw.d yn_max=65535)才得以解决.奇怪
,在别的地方加都不行,而且在别的地方加一行dyn_max=65535也正常提交.
你Blog的编辑器有问题吧!我的也是。经常遇到一些莫名奇妙的问题。这些问题好象就是出在字符编码上。谁让现在的汉字编码不统一呢?
拜托!!!请注意版权!!!!
http://bbs.nettf.net/forums/index.php?showtopic=29426
你转我收集的东西不要紧,但请不要写上作者是你!!!
QUOTE:原帖由 iceblood 于 2007-4-6 13:09 发表
拜托!!!请注意版权!!!!
http://bbs.nettf.net/forums/index.php?showtopic=29426
你转我收集的东西不要紧,但请不要写上作者是你!!!
支持原创!
QUOTE:原帖由 congli 于 2007-4-6 13:46 发表
支持原创!
也不属于原创,仅仅是资料整理,我都不敢写是原创。
这种东西总结得越多越好,越详细越好。
我都搞晕了。到底谁是原创啊!
哈哈!网络就这样,转了一大圈,又转回来了。
把作者和链接改过来了。说明一下,我可是尊重别人劳动的哟,转的时候是写的那个转贴人的名字,但是他没写出处。
QUOTE:原帖由 lsstarboy 于 2007-4-6 14:25 发表
我都搞晕了。到底谁是原创啊!
哈哈!网络就这样,转了一大圈,又转回来了。
4楼是原创.
下面是delphij对某些优化的评价
[Copy to clipboard] [ - ]CODE:sylion 写到:
我托管了一台服务器,系统是freebsd 6.1,参考了网上的一篇优化文章,将优化指令放在sysctl.conf文件中。本来在内部网上调试的好好的。可是换了个IP送到机房就出现了罕见的网络问题。
问题的现象我在这个帖子里面有说明:
http://www.01-world.com/bbs/thread-21969-1-1.html
因为访问不正常,我以为是铁通的网络问题,决定换到北京的机房。可以问题依旧。
后来想到会不会是sysctl.conf里面那些“优化”指令的问题,就尝试着把sysctl.conf清空了,什么都不设,结果一切问题都解决了。
我现在很想知道,到底是什么指令造成有的地方能访问,有的地方不能访问。并且不能访问的人也不是绝对不能访问,而是不能接收到突发数据。
把这份sysctl.conf贴在这里,让大家帮我分析分析。也避免别的人按这个优化出现同样的问题。
加的东西实在太多了……
sylion 写到:
security.bsd.see_other_uids=0
这个通常没有必要,除非系统需要让不信任的人登录。
sylion 写到:
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
#net.inet.udp.sendspace=65536
net.inet.udp.maxdgram=65536
这些配置通常不会导致问题,但是这么配置会导致开销增大,一般说来网络流量是不对称的,因此应该根据实际情况调整,并观察其效果。
sylion 写到:
net.local.stream.sendspace=65536
这个我的经验是意义不大。
sylion 写到:
net.inet.tcp.rfc1323=1
#net.inet.tcp.rfc1644=1
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
所有rfc相关的选项都是默认启用的。
sylion 写到:
kern.ipc.maxsockbuf=2097152
2MB这个值对许多应用都不合适。
sylion 写到:
kern.maxfiles=65536
这个值的调整有意义,不过如果默认的32768不够用的话,请确认一下程序里面是否有fd泄露。
sylion 写到:
kern.maxfilesperproc=32768
除非用异步I/O或大量线程,打开这么多的文件恐怕是不太正常的。
sylion 写到:
net.inet.tcp.delayed_ack=0
通常这样改无非让网络更拥堵一些而已。
sylion 写到:
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
这个没什么问题。
sylion 写到:
net.inet.ip.redirect=0
非路由器关掉无妨。
sylion 写到:
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
没必要,默认值如此。
sylion 写到:
net.inet.icmp.icmplim=100
net.inet.icmp.icmplim_output=0
个人认为默认的200不会导致太大压力。禁止输出容易让我们忽视攻击的存在。
sylion 写到:
#net.inet.tcp.drop_synfin=1
除了能阻止某些OS探测之外,它还违反了TCP标准。
sylion 写到:
net.inet.tcp.always_keepalive=1
访问量大的时候通常我们不会希望这样设置。或者至少应该把keepalive的时间缩短。
sylion 写到:
net.inet.ip.intr_queue_maxlen=1000
老天!如果这个queue达到了1000的话恐怕机器先扛不住了……
sylion 写到:
net.inet.tcp.msl=7500
这个值我通常会改的更小一些(2000或2500),这样可以加快不正常连接的释放过程(三次握手2秒、FIN_WAIT4秒)。
sylion 写到:
net.inet.tcp.blackhole=2
这个没什么问题。
sylion 写到:
net.inet.tcp.inflight.enable=1
没必要,默认值如此。
sylion 写到:
net.inet.ip.fastforwarding=0
没必要,默认值如此。
sylion 写到:
kern.ipc.somaxconn=32768
这个根据需要设就可以了。
sylion 写到:
kern.securelevel=0
这个最好配到 /etc/rc.conf 里面。
sylion 写到:
#net.inet.tcp.log_in=1
#net.inet.udp.log_in=1
?? 这两个参数是干嘛的?
sylion 写到:
net.inet.udp.checksum=1
没必要,默认值如此。
sylion 写到:
net.inet.tcp.syncookies=1
没必要,默认值如此。
sylion 写到:
kern.ipc.shm_use_phys=1
不理解为什么要这样改。我个人认为没有必要。
sylion 写到:
kern.ipc.shmmax=67108864
kern.ipc.shmall=32768
这个除非程序有特殊需要,一般情况下并不需要调整。
sylion 写到:
kern.coredump=0
除非永远不打算知道signal 11/6是什么原因。我一般的做法是改kern.corefile指定core的位置,防止把磁盘填满。当然生产系统上这样做问题不大,必要的时候可以打开。
sylion 写到:
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
我个人认为这些没有必要调整。
sylion 写到:
net.inet.tcp.mssdflt=1460
1460似乎是给ADSL配置的?
sylion 写到:
net.inet.tcp.minmss=1640
如果要赌一个能导致问题的话,我赌这个。
sylion 写到:
net.inet.raw.maxdgram=65535
net.inet.raw.recvspace=65535
个人认为没必要。
sylion 写到:
net.inet.ip.fw.dyn_max=65535
net.inet.ipf.fr_tcpidletimeout=864000
这些只有使用防火墙,并且明白设置到底是什么意思的时候才有意义。此外我认为第二个配置是错的。
作者:iceblood
网址:http://bbs.nettf.net/forums/index.php?showtopic=29426
FreeBSD系统优化部分内核参数调整中文注释
2007-04-02 12:03
很多人想优化自己的FreeBSD,特别是在网络性能以及内核调整上,因为这些是最直接的优化方式。在这里我收集整理并用中文注释了一下,相信很多人用得到。
CODE
#最大的待发送TCP数据缓冲区空间
net.inet.tcp.sendspace=65536
#最大的接受TCP缓冲区空间
net.inet.tcp.recvspace=65536
#最大的接受UDP缓冲区大小
net.inet.udp.sendspace=65535
#最大的发送UDP数据缓冲区大小
net.inet.udp.maxdgram=65535
#本地套接字连接的数据发送空间
net.local.stream.sendspace=65535
#加快网络性能的协议
net.inet.tcp.rfc1323=1
net.inet.tcp.rfc1644=1
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
#最大的套接字缓冲区
kern.ipc.maxsockbuf=2097152
#系统中允许的最多文件数量
kern.maxfiles=65536
#每个进程能够同时打开的最大文件数量
kern.maxfilesperproc=32768
#当一台计算机发起TCP连接请求时,系统会回应ACK应答数据包。
#该选项设置是否延迟ACK应答数据包,把它和包含数据的数据包一起发送,
#在高速网络和低负载的情况下会略微提高性能,但在网络连接较差的时候,
#对方计算机得不到应答会持续发起连接请求,反而会降低性能。
net.inet.tcp.delayed_ack=0
#屏蔽ICMP重定向功能
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
#防止ICMP广播风暴
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
#限制系统发送ICMP速率
net.inet.icmp.icmplim=100
#安全参数,编译内核的时候加了options TCP_DROP_SYNFIN才可以用
net.inet.icmp.icmplim_output=0
net.inet.tcp.drop_synfin=1
#设置为1会帮助系统清除没有正常断开的TCP连接,这增加了一些网络带宽的使用,但是一些死掉的连接最终能被识别并清除。死的TCP连接是被拨号用户存取的系统的一个特别的问题,因为用户经常断开modem而不正确的关闭活动的连接
net.inet.tcp.always_keepalive=1
#若看到net.inet.ip.intr_queue_drops这个在增加,就要调大net.inet.ip.intr_queue_maxlen,为0最好
net.inet.ip.intr_queue_maxlen=1000
#防止DOS攻击,默认为30000
net.inet.tcp.msl=7500
#接收到一个已经关闭的端口发来的所有包,直接drop,如果设置为1则是只针对TCP包
net.inet.tcp.blackhole=2
#接收到一个已经关闭的端口发来的所有UDP包直接drop
net.inet.udp.blackhole=1
#为网络数据连接时提供缓冲
net.inet.tcp.inflight.enable=1
#如果打开的话每个目标地址一次转发成功以后它的数据都将被记录进路由表和arp数据表,节约路由的计算时间,但会需要大量的内核内存空间来保存路由表
net.inet.ip.fastforwarding=0
##kernel编译打开options POLLING功能,高负载情况下使用低负载不推荐
##SMP不能和polling一起用
#kern.polling.enable=1
#并发连接数,默认为128,推荐在1024-4096之间,数字越大占用内存也越大
kern.ipc.somaxconn=32768
#禁止用户查看其他用户的进程
security.bsd.see_other_uids=0
#设置kernel安全级别
kern.securelevel=0
#记录下任何TCP连接
net.inet.tcp.log_in_vain=1
#记录下任何UDP连接
net.inet.udp.log_in_vain=1
#防止不正确的udp包的攻击
net.inet.udp.checksum=1
#防止DOS攻击
net.inet.tcp.syncookies=1
#仅为线程提供物理内存支持,需要256兆以上内存
kern.ipc.shm_use_phys=1
# 线程可使用的最大共享内存
kern.ipc.shmmax=67108864
# 最大线程数量
kern.ipc.shmall=32768
# 程序崩溃时不记录
kern.coredump=0
# lo本地数据流接收和发送空间
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 数据包数据段大小,ADSL为1452。
net.inet.tcp.mssdflt=1460
# 为网络数据连接时提供缓冲
net.inet.tcp.inflight_enable=1
# 数据包数据段最小值,ADSL为1452
net.inet.tcp.minmss=1460
# 本地数据最大数量
net.inet.raw.maxdgram=65536
# 本地数据流接收空间
net.inet.raw.recvspace=65536
#ipfw防火墙动态规则数量,默认为4096,增大该值可以防止某些病毒发送大量TCP连接,导致不能建立正常连接
net.inet.ip.fw.dyn_max=65535
#设置ipf防火墙TCP连接空闲保留时间,默认8640000(120小时)
net.inet.ipf.fr_tcpidletimeout=864000[url=http://]http://bbs.nettf.net/forums/index.php?showtopic=29426[/url]
[[i] 本帖最后由 lsstarboy 于 2007-4-6 15:00 编辑 [/i]]
刚才把这篇文章转到我的CUblog 的时候,提示有非法字符不能提交.排除法修改为在倒数第三行中加一空格(net.inet.ip.fw.d yn_max=65535)才得以解决.奇怪
,在别的地方加都不行,而且在别的地方加一行dyn_max=65535也正常提交.
你Blog的编辑器有问题吧!我的也是。经常遇到一些莫名奇妙的问题。这些问题好象就是出在字符编码上。谁让现在的汉字编码不统一呢?
拜托!!!请注意版权!!!!
http://bbs.nettf.net/forums/index.php?showtopic=29426
你转我收集的东西不要紧,但请不要写上作者是你!!!
QUOTE:原帖由 iceblood 于 2007-4-6 13:09 发表
拜托!!!请注意版权!!!!
http://bbs.nettf.net/forums/index.php?showtopic=29426
你转我收集的东西不要紧,但请不要写上作者是你!!!
支持原创!
QUOTE:原帖由 congli 于 2007-4-6 13:46 发表
支持原创!
也不属于原创,仅仅是资料整理,我都不敢写是原创。
这种东西总结得越多越好,越详细越好。
我都搞晕了。到底谁是原创啊!
哈哈!网络就这样,转了一大圈,又转回来了。
把作者和链接改过来了。说明一下,我可是尊重别人劳动的哟,转的时候是写的那个转贴人的名字,但是他没写出处。
QUOTE:原帖由 lsstarboy 于 2007-4-6 14:25 发表
我都搞晕了。到底谁是原创啊!
哈哈!网络就这样,转了一大圈,又转回来了。
4楼是原创.
下面是delphij对某些优化的评价
[Copy to clipboard] [ - ]CODE:sylion 写到:
我托管了一台服务器,系统是freebsd 6.1,参考了网上的一篇优化文章,将优化指令放在sysctl.conf文件中。本来在内部网上调试的好好的。可是换了个IP送到机房就出现了罕见的网络问题。
问题的现象我在这个帖子里面有说明:
http://www.01-world.com/bbs/thread-21969-1-1.html
因为访问不正常,我以为是铁通的网络问题,决定换到北京的机房。可以问题依旧。
后来想到会不会是sysctl.conf里面那些“优化”指令的问题,就尝试着把sysctl.conf清空了,什么都不设,结果一切问题都解决了。
我现在很想知道,到底是什么指令造成有的地方能访问,有的地方不能访问。并且不能访问的人也不是绝对不能访问,而是不能接收到突发数据。
把这份sysctl.conf贴在这里,让大家帮我分析分析。也避免别的人按这个优化出现同样的问题。
加的东西实在太多了……
sylion 写到:
security.bsd.see_other_uids=0
这个通常没有必要,除非系统需要让不信任的人登录。
sylion 写到:
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
#net.inet.udp.sendspace=65536
net.inet.udp.maxdgram=65536
这些配置通常不会导致问题,但是这么配置会导致开销增大,一般说来网络流量是不对称的,因此应该根据实际情况调整,并观察其效果。
sylion 写到:
net.local.stream.sendspace=65536
这个我的经验是意义不大。
sylion 写到:
net.inet.tcp.rfc1323=1
#net.inet.tcp.rfc1644=1
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
所有rfc相关的选项都是默认启用的。
sylion 写到:
kern.ipc.maxsockbuf=2097152
2MB这个值对许多应用都不合适。
sylion 写到:
kern.maxfiles=65536
这个值的调整有意义,不过如果默认的32768不够用的话,请确认一下程序里面是否有fd泄露。
sylion 写到:
kern.maxfilesperproc=32768
除非用异步I/O或大量线程,打开这么多的文件恐怕是不太正常的。
sylion 写到:
net.inet.tcp.delayed_ack=0
通常这样改无非让网络更拥堵一些而已。
sylion 写到:
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
这个没什么问题。
sylion 写到:
net.inet.ip.redirect=0
非路由器关掉无妨。
sylion 写到:
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
没必要,默认值如此。
sylion 写到:
net.inet.icmp.icmplim=100
net.inet.icmp.icmplim_output=0
个人认为默认的200不会导致太大压力。禁止输出容易让我们忽视攻击的存在。
sylion 写到:
#net.inet.tcp.drop_synfin=1
除了能阻止某些OS探测之外,它还违反了TCP标准。
sylion 写到:
net.inet.tcp.always_keepalive=1
访问量大的时候通常我们不会希望这样设置。或者至少应该把keepalive的时间缩短。
sylion 写到:
net.inet.ip.intr_queue_maxlen=1000
老天!如果这个queue达到了1000的话恐怕机器先扛不住了……
sylion 写到:
net.inet.tcp.msl=7500
这个值我通常会改的更小一些(2000或2500),这样可以加快不正常连接的释放过程(三次握手2秒、FIN_WAIT4秒)。
sylion 写到:
net.inet.tcp.blackhole=2
这个没什么问题。
sylion 写到:
net.inet.tcp.inflight.enable=1
没必要,默认值如此。
sylion 写到:
net.inet.ip.fastforwarding=0
没必要,默认值如此。
sylion 写到:
kern.ipc.somaxconn=32768
这个根据需要设就可以了。
sylion 写到:
kern.securelevel=0
这个最好配到 /etc/rc.conf 里面。
sylion 写到:
#net.inet.tcp.log_in=1
#net.inet.udp.log_in=1
?? 这两个参数是干嘛的?
sylion 写到:
net.inet.udp.checksum=1
没必要,默认值如此。
sylion 写到:
net.inet.tcp.syncookies=1
没必要,默认值如此。
sylion 写到:
kern.ipc.shm_use_phys=1
不理解为什么要这样改。我个人认为没有必要。
sylion 写到:
kern.ipc.shmmax=67108864
kern.ipc.shmall=32768
这个除非程序有特殊需要,一般情况下并不需要调整。
sylion 写到:
kern.coredump=0
除非永远不打算知道signal 11/6是什么原因。我一般的做法是改kern.corefile指定core的位置,防止把磁盘填满。当然生产系统上这样做问题不大,必要的时候可以打开。
sylion 写到:
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
我个人认为这些没有必要调整。
sylion 写到:
net.inet.tcp.mssdflt=1460
1460似乎是给ADSL配置的?
sylion 写到:
net.inet.tcp.minmss=1640
如果要赌一个能导致问题的话,我赌这个。
sylion 写到:
net.inet.raw.maxdgram=65535
net.inet.raw.recvspace=65535
个人认为没必要。
sylion 写到:
net.inet.ip.fw.dyn_max=65535
net.inet.ipf.fr_tcpidletimeout=864000
这些只有使用防火墙,并且明白设置到底是什么意思的时候才有意义。此外我认为第二个配置是错的。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
