本文介绍了Linux系统的网络优化和安全配置,包括调整网络设备接收队列、关闭不必要的重定向功能、启用TIME-WAIT套接字重用、减少FIN-WAIT-2状态时间、优化TCP KeepAlive、增加SYN队列长度、设置套接字缓冲区大小、启用TCP SYN cookies以防御SYN Flood攻击,以及关闭路由相关功能等,以提升服务器性能和安全性。
linux网络 1, 优化网络设备接收队列
net.core.netdev_max_backlog=3000
该文件表示在每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。
默认值:Red Hat
Linux release 9 (Shrike)默认为300
rhel5 默认为1000
建议值为3000
2, net.ipv4.conf.lo.accept_redirects
accept_redirects:该参数位于 /proc/sys/net/ipv4/conf/DEV/accept_redirects
(DEV表示具体的网络接口),如果你的主机所在的网段中有两个路由器,你将其中一个设置成了缺省网关,但是该网关在收到你的ip包时发现该ip包必须经
过另外一个路由器,这时这个路由器就会给你发一个所谓的“重定向”icmp包,告诉将ip包转发到另外一个路由器。参数值为布尔值,1表示接收这类重定向
icmp
信息,0表示忽略。在充当路由器的linux主机上缺省值为0,在一般的linux主机上缺省值为1。建议将其改为0,或者使用“安全重定向”(见下文)
以消除安全性隐患。
net.ipv4.conf.lo.accept_redirects=0
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.eth0.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0
3, 打开TIME-WAIT套接字重用功能,对于存在大量连接的Web服务器非常有效。
net.ipv4.tcp_tw_recyle=1
net.ipv4.tcp_tw_reuse=1
10)
/proc/sys/net/ipv4/tcp_tw_recyle
打开快速
TIME-WAIT sockets 回收。除非得到技术专家的建议或要求,请不要随
意修改这个值。
缺省设置:0
11)
/proc/sys/net/ipv4/tcp_tw_reuse
该文件表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接。
缺省设置:0
下边的命令用来对连接数量非常大的服务器进行调优.
·对于同时支持很多连接的服务器,新的连接可以重新使用TIME-WAIT套接字. 这对于Web服务器非常有效:
如果你使用该命令,还要启动TIME-WAIT 套接字状态的快速循环功能:
图Figure
10-7显示出将这些功能启用,连接数量明显降低.因为每个TCP传输都包含远程客户端的协议信息缓存,所以有利于提高性能.缓存中存放round-trip时间、最大segment大小、拥塞窗口的信息。
4, 减少处于FIN-WAIT-2连接状态的时间,使系统可以处理更多的连接。
net.ipv4.tcp_fin_timeout=30
tcp_fin_timeout:在一个tcp会话过程中,在会话结束时,A首先向B发送一个fin包,
在获 得B的ack确认包后,A就进入FIN WAIT2状态等待B的fin包然后给B发ack确认包。
这个参数就是用来设置A进入FIN WAI
最低0.47元/天 解锁文章
扫一扫
2333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
