六、网络参数调整

利用ndd命令，可以检测或者更改网络设备驱动程序的特性。在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令，然后重启系统，可以提高网络的安全性。

格式如下：

/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0

Network device

Parameter

Default value

Suggested value

Comment

/dev/ip

ip_forward_directed_broadcasts

1

0

不转发定向广播包

/dev/ip

ip_forward_src_routed

1

0

不转发原路由包

/dev/ip

ip_forwarding

2

0

禁止包转发

/dev/ip

ip_pmtu_strategy

2

1

不采用echo-request PMTU策略

/dev/ip

ip_send_redirects

1

0

不发ICMP重定向包

/dev/ip

ip_send_source_quench

1

0

不发ICMP源结束包

/dev/tcp

tcp_conn_request_max

20

500

增加TCP监听数最大值，提高性能

/dev/tcp

tcp_syn_rcvd_max

500

500

HP SYN flood保护

/dev/ip

ip_respond_to_echo_broadcast

1

0

不响应ICMP echo请求广播包

由于ndd调用前，已经启动网卡参数，所以可能不能正确设置。

可以采用下列方法，建立一个启动脚本。

# cp /tmp/secconf /etc/rc.config.d

# chmod 444 /etc/rc.config.d/secconf

# cp /tmp/sectune /sbin/init.d

# chmod 555 /sbin/init.d/sectune

# ln -s /sbin/init.d/sectune /sbin/rc2.d/S009sectune

--

原文链接: http://www.dostor.com/b/veritas/2006-03-01/0007226418.shtml