WWW.FIREWALL.NET.UA

Поиск по сайту
freebsd‎ > ‎

sysctl.conf

security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
#
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
#
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1


# Отключаем возможность просмотра других процессов для всех, кроме рута
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0

# net.inet.tcp.blackhole определяет, что должно происходить, когда
# система получает TCP пакет на закрытый порт. Когда эта переменная
# установлена в 1, SYN пакеты на закрытый порт будут отклоняться без
# отсылки отправителю RST пакета. Когда она установлена в 2, все пакеты
# на закрытый порт отбрасываются без отсылки RST. Это бережет время ЦПУ,
# потому что пакеты практически не требуют обработки, а также
# освобождает исходящий канал, потому ответные пакеты не отсылаются.
#
# net.inet.udp.blackhole схоже с net.inet.tcp.blackhole по своей
# функциональности. Так как протокол UDP не устанавливает соединение,
# как TCP, то при сбросе UDP пакетов есть только одна опция. Когда эта
# переменная установлена в 1, система отбрасывает все UDP пакеты,
# которые адресованы закрытым портам.
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1

# Название это переменной вводит в заблуждение. Она контролирует
# максимальное количество пакетов ICMP <<Недостижимо>>, а также
# количество отсылок TCP RST пакетов в секунду. Она помогает уменьшить
# урон от атак, при которых генерируется большое количество ответных
# пакетов.
net.inet.icmp.icmplim=50

# kern.ipc.somaxconn ограничивает максимальное количество одновременно
# открытых сокетов. Значение по умолчанию - 128. Если атакующий сможет
# завалить вас достаточно большим количеством SYN пакетов за короткий
# период времени, то он может задействовать все возможные сетевые
# соединения, успешно ограничив ваших пользователей в доступе к
# сервисам.
kern.ipc.somaxconn=1024

# Параметр kern.maxfiles позволят Вам откорректировать число
# одновременно открытых дескрипторов файлоы в Вашей системе.
kern.maxfiles=8080

net.inet.ip.fw.autoinc_step=50
net.inet.ip.fw.verbose_limit=0

# net.inet.tcp.msl определяет максимальное время жизни сегмента (Maximum
# Segment Life - MSL). Это максимальное количество времени ожидания ACK
# в ответ на SYN-ACK или FIN-ACK в миллисекундах. Если в течение этого
# времени компьютер не получает ACK, то он считает, что сегмент потерян
# и освобождает сетевое подключение.
net.inet.tcp.msl=7500

# если 1, то некоторые сигналы запрещается посылать setuid/setgid процессам
security.bsd.conservative_signals=1

# если 1, то ipfw2 позволяет фильтровать по MAC адресам
#net.link.ether.ipfw=1

# если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения "ICMP unreachable"
net.inet.tcp.icmp_may_rst=1

# если 0, то нет реакции на ICMP REDIRECT пакеты
net.inet.ip.redirect=0

# если 1, то все ICMP REDIRECT пакеты отражаются в логе
net.inet.icmp.log_redirect=1

# если 1, то ICMP REDIRECT пакеты игнорируются
net.inet.icmp.drop_redirect=1

# если 1, то игнорируются ICMP сообщения от блокировки пакета по пути
net.inet.tcp.icmp_may_rst=1

# если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов
net.inet.tcp.log_in_vain=1
net.inet.udp.log_in_vain=1

# если 1, то машина может форвадить пакеты между интерфейсами
net.inet.ip.forwarding=1

# для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0
net.inet.icmp.bmcastecho=0

# Существуют 2 вида проб. Запрос маски адреса может быть использован для
# определения размера блока сети и установки диапазона для дальнейших
# проб. Широковещательный запрос временного штампа (timestamp) - еще
# одно средство выявления хостов и определения их операционных систем
# (fingerprinting)
net.inet.icmp.maskrepl=0

# если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов
net.inet.tcp.sack.enable=1

# kern.ipc.nmbclusters - если по "netstat -m" mbufs в "peak" приближается к "max",
# то число сетевых буферов нужно увеличить (kern.ipc.nmbclusters=N в /boot/locader.conf)

# Очистка ARP:
# Существует возможность, что атакующий создаст нехватку ресурсов или
# уменьшение производительности заполнив кэш маршрутизации IP с помощью
# неправильных записей в ARP таблице. Этот параметр рекомендуется
# выставить в 20 минут по умолчанию. FreeBSD:
net.link.ether.inet.max_age=1200

# Маршрутизация отправителя:
# С помощью маршрутизации отправителя атакующий может попытаться
# достигнуть внутренние IP адреса, включая адреса RFC1918. Важно
# отключить принятие пакетов маршрутизации отправителя для
# предотвращения незаметных проб вашей внутренней сети. FreeBSD:
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0

# analog ip cef in cisco IOS, fast in 40-60%
net.inet.ip.fastforwarding=1

# Enabling random IP_ID assigns a random IP_ID to each packet rendering this kind of <attack> in effective:
net.inet.ip.random_id=1

# Set to 1 to enable bridging, set to 0 to disable it.
#net.link.ether.bridge.enable=1
# Set to 1 to enable ipfw(8) processing of bridged packets.  Note
# that ipfw(8) rules only apply to IP packets.  Non-IP packets are
# accepted by default.  See the BUGS section and the ipfw(8) man-
# page for more details on the interaction of bridging and the
# firewall.
#net.link.ether.bridge.ipfw=1
#net.link.ether.bridge.config=rl0

# Use TCP SYN cookies if the syncache overflows
net.inet.tcp.syncookies=1

# To verify that an incoming packet arrives on
# an interface that has an address matching the packet's destination address:
net.inet.ip.check_interface=1

Sign in|Report Abuse|Print Page|Remove Access|Powered By Google Sites