当前位置：清风网络学院 → 操作系统 → Linux → Linux中网络参数的意义及其应用


	精品推荐


特别推荐


热点TOP10

·为Canon PIXMA iP1000喷墨打印机安装驱动程序

·用.iso文件从硬盘安装redhat linux 7.3

·Linux root密码丢失后的解决

·安装，配置rp-pppoe拨号软件，使adsl成功上网

·日内瓦学校将全面换用Linux系统

·Linux系统安全机制进阶分析

·Linux下限制Root用户进行远程登陆

·Linux和Windows系统升级的最大不同

·Linux系统下VPN服务器配置方法

·提高Linux操作系统网速的方法

Linux中网络参数的意义及其应用

日期：2007年11月9日作者：查看:[大字体中字体小字体]

　　1：启用该功能

　　2：使用冗余模式启用该功能

　　0：禁止该功能

　　应用实例：

　　在使用ipchains配置ip欺骗带动局域网共享一个ppp连接上网时，有时会出现刚开时连接一个站点连不通，再次刷新又可以连接的情况，这时候就可以设置该参数的值为1，从而立即改变伪装地址为新的ip地址，就可以解决这类问题。命令为：

echo "1" > /proc/sys/net/ipv4/ip_dynaddr
　　3.ip_forward：可以通过该参数来启用包转发功能，从而使系统充当路由器。参数值为1时启用ip转发，为0时禁止ip转发。注意，我们可以在单网卡或双网卡的主机上实现ip转发。

　　应用实例：

　　假设我们使用一部装有双网卡的linux主机充当防火墙，这时候我们就必须执行以下命令来打开ip转发功能：

echo "1" > /proc/sys/net/ipv4/ip_forward
　　4. ip_local_port_range：设置当本地系统向外发起tcp或udp连接请求时使用的端口范围。设置值为两个整数，缺省为“1024 4999”。

　　应用实例：

echo "1450 6000" > /proc/sys/net/ipv4/ip_local_port_range

　　三、tcp相关内核配置参数

　　通过tcp配置参数可以控制tcp会话过程中的各个方面。

　　a) tcp_fin_timeout：在一个tcp会话过程中，在会话结束时，A首先向B发送一个fin包，在获得B的ack确认包后，A就进入FIN WAIT2状态等待B的fin包然后给B发ack确认包。这个参数就是用来设置A进入FIN WAIT2状态等待对方fin包的超时时间。如果时间到了仍未收到对方的fin包就主动释放该会话。参数值为整数，单位为秒，缺省为180秒。

　　b) tcp_syn_retires：设置开始建立一个tcp会话时，重试发送syn连接请求包的次数。

　　参数值为小于255的整数，缺省值为10。假如你的连接速度很快，可以考虑降低该值来提高系统响应时间，即便对连接速度很慢的用户，缺省值的设定也足够大了。

　　c) tcp_window_scaling：设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值，为1时表示可变，为0时表示不可变。Tcp/ip通常使用的窗口最大可达到65535 字节，对于高速网络，该值可能太小，这时候如果启用了该功能，可以使tcp/ip滑动窗口大小增大数个数量级，从而提高数据传输的能力。

　　四、有关防止ip欺骗攻击的内核网络参数

　　假设有如下的情景：

请添加描述

　　在缺省状态下，路由器根据包的目的地址进行转发，所以路由器缺省是对来自任何地方的包进行转发的。如上图所示，假如路由器的2.2.2.2接口（也即广域网接口）接收到一个包，该包的源地址为1.1.1.100（也即为Intranet地址），虽然这是不可能或者说是不合理的，但是由于路由器的特性，路由器还是会将这个不合法的包转发到Intranet。从而让黑客有了可乘之机，为其进行ip欺骗攻击打开了方便之门。

　　幸好，我们可以通过Linux的内核系统参数“反向路径过滤”来防止这种情况，该参数位于/proc/sys/net/ipv4/conf/下的各个子目录中的rp_filter文件。参数值为整数，可能的值有：

　　2 －进行全面的反向路径过滤，推荐在边缘路由器上使用。但是要注意，在复杂的网络环境中，如果使用了静态路由或rip、ospf路由协议时，不推荐使用该值。

　　1 －是该参数的缺省值，它只对直接连接的网络进行反向路径过滤。

　　0 －不进行反向路径过滤。

　　应用实例：

　　建立如下的脚本，文件名为rp.sh

#/bin/bash for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 2 > $i done
　　然后更改文件权限chmod 755 rp.sh

　　最后执行 ./rp.sh

　　五、针对每一网络接口的内核网络参数

　　通过针对每一网络接口的内核网络参数，你可以为诸如eth0、eth1等具体的网络接口指
定响应的内核网络参数。

　　注意：/proc/sys/net/ipv4/conf/all/下的参数将应用于所有的网络接口。

　　1．accept_redirects：该参数位于/proc/sys/net/ipv4/conf/DEV/accept_redirects（DEV表示具体的网络接口），如果你的主机所在的网段中有两个路由器，你将其中一个设置成了缺省网关，但是该网关在收到你的ip包时发现该ip包必须经过另外一个路由器，这时这个路由器就会给你发一个所谓的“重定向”icmp包，告诉将ip包转发到另外一个路由器。参数值为布尔值，1表示接收这类重定向icmp 信息，0表示忽略。在充当路由器的linux主机上缺省值为0，在一般的linux主机上缺省值为1。建议将其改为0，或者使用“安全重定向”（见下文）以消除安全性隐患。

上一篇:Winamp 5.5纪念版的贪吃蛇彩蛋

下一篇:赋予XP开启Vista的隐藏共享功能

·请问网络路由器的接口种类有哪些？

·从零开始学黑客：网络黑客新手入门指南

·微软.NET战略延深蓄谋打造下一代网络门户

·从零开始　无线网络终极应用宝典

·注册表应用100例—注册表使用全攻略之十一

·常用的网络测试命令

·计算机等级考试三级网络技术复习提纲(下)

·网络赚钱常见误区

·网络速度我做主，限制带宽小技巧

·WindowsXP应用技巧的具体总结

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot