|
|
#-title-#
|
|
|
|
|
|
#Передача транзитных пакетов между сетевыми интерфейсами
|
|
|
net.ipv4.ip_forward = 0
|
|
|
|
|
|
# Enables source route verification
|
|
|
net.ipv4.conf.default.rp_filter = 1
|
|
|
|
|
|
# Принятый пакет предполагает передачу ответа через тот же самый интерфейс
|
|
|
net.ipv4.conf.all.rp_filter = 1
|
|
|
|
|
|
# Разрешает/запрещает передачу так называемых syncookies вызывающему хосту
|
|
|
# в случае переполнения очереди SYN-пакетов для заданного сокета.
|
|
|
# Эта переменная используется для предотвращения syn-flood атак.
|
|
|
# Функция будет работать только в том случае, если ядро собрано с опцией
|
|
|
# CONFIG_SYN_COOKIES. (прим. перев.)
|
|
|
#net.ipv4.tcp_syncookies = 1
|
|
|
|
|
|
# Переменная разрешает/запрещает "маршрутизацию от источника".
|
|
|
# Маршрутизация от источника весьма небезопасна.
|
|
|
net.ipv4.conf.all.accept_source_route = 0
|
|
|
net.ipv4.conf.default.accept_source_route = 0
|
|
|
|
|
|
# Переменная управляет приемом ICMP-сообщений о переадресации. В подавляющем
|
|
|
# большинстве случаев необходимость в переадресации отсутствует, к тому же
|
|
|
# опция небезопасна.
|
|
|
net.ipv4.conf.all.accept_redirects = 0
|
|
|
net.ipv4.conf.default.accept_redirects = 0
|
|
|
|
|
|
# Эта переменная очень близка по смыслу к icmp_echo_ignore_all, только в
|
|
|
# данном случае будут игнорироваться ICMP сообщения, отправленные на
|
|
|
# широковещательный или групповой адрес. Вполне очевидно, почему полезно
|
|
|
# включить этот параметр -- защита от smurf атак.
|
|
|
net.ipv4.icmp_echo_ignore_broadcasts = 1
|
|
|
|
|
|
# Комбинация клавиш sysrq
|
|
|
kernel.sysrq = 1
|
|
|
|
|
|
# Время в секундах до перезагрузки системы при падении ядра
|
|
|
kernel.panic = 3
|
|
|
|
|
|
# Максимальное значение идентификатора процесса
|
|
|
#kernel.pid_max = 999999
|
