net.ipv4.ip_forward = 0 #该文件内容为0,表示禁止数据包转发,1表示允许 net.ipv4.conf.default.rp_filter = 1 #是否忽略arp请求 net.ipv4.conf.default.accept_source_route = 0 # 是否接受源路由(source route) net.ipv4.conf.all.secure_redirects = 0 # 如果服务器不作为网关/路由器,该值建议设置为0 kernel.sysrq = 0 # 是否开启sysrq,0为disable sysrq, 1为enable sysrq completely kernel.core_uses_pid = 1 # 如果这个文件的内容被配置成1,那么即使core_pattern中没有设置%p,最后生成的core dump文件名仍会加上进程ID net.ipv4.tcp_syncookies = 1 # 开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理 kernel.msgmnb = 65536 # 指定内核中每个消息队列的最大字节限制 kernel.msgmax = 65536 # 指定内核中单个消息的最大长度(bytes).进程间的消息传递是在内核的内存中进行的,不会交换到磁盘上,所以如果增大该值,则将增大操作系统所使用的内存数量 kernel.shmmax = 68719476736 # 指定共享内存片段的最大尺寸(bytes) kernel.shmall = 4294967296 # 指定可分配的共享内存数量 net.ipv4.tcp_max_tw_buckets = 6000 # time_wait的数量,默认是180000 net.ipv4.tcp_sack = 1 # 是否开启有选择性的应答(Selective Acknowledgement,简称SACK) net.ipv4.tcp_window_scaling = 1 # 是否开启tcp滑动窗口 net.ipv4.tcp_rmem = 4096 87380 4194304 # 指定tcp接收缓存(receive memory buffers),有三个值。第一个是每一个TCP连接最小的接收buffer; 第二个值是每个TCP连接默认分配的接收buffer,该值将覆盖net.core.rmem_default值;第三个是一个TCP连接最大可以分配的接收buffer net.ipv4.tcp_wmem = 4096 16384 4194304 # 指定tcp发送缓存(send memory buffers),有三个值,和net.ipv4.tcp_rmem类似 net.core.wmem_default = 8388608 # 表示发送套接字缓冲区大小的缺省值(bytes) net.core.rmem_default = 8388608 # 表示接收套接字缓冲区大小的缺省值(bytes) net.core.rmem_max = 16777216 # 表示接收套接字缓冲区大小的最大值(bytes) net.core.wmem_max = 16777216 # 表示发送套接字缓冲区大小的最大值(bytes) net.core.netdev_max_backlog = 262144 # 每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目 net.core.somaxconn = 262144 # web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值 net.ipv4.tcp_max_orphans = 3276800 # 系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如果超过这个数字,孤儿连接将即刻被复位并打印出警告信息,这个限制仅仅是为了防止简单的Dos攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后) net.ipv4.tcp_max_syn_backlog = 262144 # 记录的那些尚未收到客户端确认信息的连接请求的最大值,对于有128M内存的系统而言,缺省值是1024,小内存的系统这是128 net.ipv4.tcp_timestamps = 0 # 时间戳可以避免序列号的卷绕,一个1Gbs的链路肯定会遇到以前用过的序列号,时间戳能够让内核接受这种"异常"的数据包,这里需将其关掉(0表示禁用时间戳,1表示启用时间戳) net.ipv4.tcp_synack_retries = 2 # 为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK,也就是所谓的三次握手中的第二次握手,这个设置决定了内核放弃连接之前发送SYN+ACK包的数量可以设置为1 net.ipv4.tcp_syn_retries = 2 # 在内核放弃建立连接之前发送SYN包的数量可以设置为1 net.ipv4.tcp_tw_recycle = 0 # time_wait快速回收 0为关闭,1为打开,默认为关闭,打开后提高服务器性能,但会出现问题,问题见下一篇文章,建议关闭 net.ipv4.tcp_tw_reuse = 1 # 开启重用,允许Time-WAIT sockets重新用于新的TCP连接 net.ipv4.tcp_mem = 94500000 915000000 927000000 # 确定 TCP 栈应该如何反映内存使用;每个值的单位都是内存页(通常是 4KB) net.ipv4.tcp_fin_timeout = 1 # 如果套接字有本端要求关闭,这个参数决定了保持在FIN-WAIT-2状态的时间,对端可以出错并永远关闭连接,甚至以外宕机,缺省值是60秒,2.2内核的通常值是180秒,你可以按这个设置,但要记住的是,即时你的机器是一个轻载的WEB服务器,也有因为大量的死套接字而内存溢出的风险,FIN-WAIT-2的危险性比FIN-WAIT-1要小,因为它最多只能吃掉1.5K内存,但是他们生存期长些 net.ipv4.tcp_keepalive_time = 30 # 当keepzlived起作用的时候,TCP发送keepzlived消息的频度,缺省是两小时,可以设置为30 net.ipv4.tcp_keepalive_probes=3 # 如果对方不予应答,探测包的发送次数 net.ipv4.tcp_orphan_retries=3 # 设置较小的数值,可以有效降低orphans的数量 net.ipv4.ip_local_port_range = 1024 65500 # 允许系统打开的端口范围 # 以下全部都是对iptables防火墙的优化,防火墙不开会有提示,可以忽略不理。:由于CentOS6.X系统中的模块名不是ip_conntrack,而是nf_conntrack,所以在/etc/sysctl.conf优化时,需要把net.ipv4.netfilter.ip_conntrack_max 这种老的参数,改成net.netfilter.nf_conntrack_max这样才可以 net.nf_conntrack_max = 25000000 # 最大跟踪连接数 net.netfilter.nf_conntrack_max = 25000000 # 内核模块实现连接跟踪功能,所有的进出数据包都会记录在连接跟踪表中,包括tcp,udp,icmp等,一旦连接跟踪表被填满以后,就会发生丢包,导致网络不稳定 net.netfilter.nf_conntrack_tcp_timeout_established = 432000 # 上条决定ESTABLISHED状态连接的超时时间,默认值是5天,可以根据实际业务情况进行调整 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 # 已主动关闭 闲置内存而且不回收内存 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 # 被动关闭 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 vm.max_map_count = 655360
扫一扫
748
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
