13.2. Mało znane ustawienia

Jeśli kernel zdecyduje, że nie może dostarczyć pakietu odrzuci go i wyśle źródle pakietu informacje w postaci ICMP by je o tym powiadomić.

Nie reaguj w ogóle na pakiety ICMP echo. Nie ustawiaj tego domyślnie, chyba że jesteś używany jako przekaźnik w atakach DoS.

Jeśli pingujesz adres rozgłoszeniowy spodziewasz się odpowiedzi od wszystkich komputerów. Jest to wygodne narzędzie DoS, ustawienie w tym pliku wartości `1' powoduje, że rozgłaszane wiadomości ICMP echo są ignorowane.

Częstotliwość z jaką kernel wysyła odpowiedzi na ping pod określony adres przeznaczenia.

Ustaw by ignorować błędy ICMP spowodowane przez komputery źle reagujące na ramki, które uważają za adresy rozgłoszeniowe.

Mało znana wiadomość ICMP wysyłana w odpowiedzi na pakiet z uszkodzonym nagłówkiem IP lub TCP.

Znany powód występowania `solarisowej gwiazdki w środku' w przypadku wykonywania traceroute. Ogranicza liczbę wiadomości ICMP Przekroczono Czas.

Maksymalna liczba nasłuchujących gniazd IGMP na maszynie. FIXME: Czy faktycznie?

FIXME: Dodać trochę wyjaśnień do mechanizmu przechowywania informacji?

Minimalny interwał pomiędzy `zbieraniem śmieci'. Interwał mierzony jest tylko gdy wolna jest mała część puli pamięci.

Minimalny interwał pomiędzy `zbieraniem śmieci'. Ten interwał mierzony jest tylko gdy wolna jest duża część puli pamięci. Mierzony w `jiffies'.

Maksymalny czas życia wpisów. Nieużywane wpisy wygasają po upływie określonego czasu lub gdy nie ma pamięci w puli (tzn. gdy liczba wpisów w puli jest już bardzo mała). Mierzony w `jiffies'.

Minimalny czas życia wpisów. Powinien być na tyle duży, by obejmować czas potrzebny na składanie fragmentów. Czas ten jest gwarantowany, jeśli wielkość puli jest mniejsza niż wartość `inet_peer_threshold'. Mierzony w `jiffies'.

Przybliżona wielkość archiwum INET. Poczynając od tego progu, wpisy będą wyrzucane agresywniej. Próg określa również czasy życia wpisów dla interwałów zbierania śmieci. Czym więcej wpisów, mniejszy czas TTL i interwał zbierania śmieci.

Plik zawiera wartość `1' jeśli konfiguracja IP odbywa się za pomocą protokołu RARP, BOOTP, DHCP lub podobnego. W innym wypadku zawiera zero.

Czas życia (TTL) pakietów. Ustawiony na bezpieczną wartość `64'. Podnieś, jeśli masz dużą sieć i raczej nie baw się tym parameterm - pętle routingu potrafią wyrządzić wiele kłopotu. Czasami nawet warto obniżyć tą wartość.

Musisz ustawić tu `1' jeśli korzystasz z połączeń zestawianych na żądanie i masz przydzielany dynamiczny adres interfejsu. Po tym, jak podniesiony zostanie interfejs, gniazda TCP nie otrzymają odpowiedzi dopóki nie skojarzone zostaną z odpowiednim adresem. Rozwiązuje to problem w przypadku, gdy pierwsze nawiązanie połączenia nie podnosi interfejsu a np. drugie pomaga.

Czy kernel ma przekazywać pakiety. Domyślnie wyłączone.

Zakres portów lokalnych przeznaczonych dla połączeń wychodzących. Domyślnie całkiem mały, od 1024 do 4999.

Ustaw `1' w tym pliku jeśli chcesz wyłączyć rozpoznawanie MTU ścieżki (ang. "Path MTU Discovery", PMTUD) - techniki pozwalającej określić `Maksymalną Jednostkę Transmisji' (ang. "Maximum Transfer Unit") możliwą na twojej trasie. Zajrzyj również do tego rozdziału Cookbook.

Maksymalna ilość pamięci przeznaczona na fragmenty IP. Jeśli zaalokowano już `ipfrag_high_thresh' bajtów do tego celu, funkcja obsługująca defragmentację będzie odrzucać nowe fragmenty aż osiągnięty zostanie poziom wartości `ipfrag_low_thresh'.

Ustaw w tym pliku `1' jeśli chcesz, by aplikacje mogły bindować się do adresów nie istniejących na żadnym urządzeniu w twoim systemie. Może to być użyteczne, jeśli komputer jest podłączony do dynamicznego łącza, więc dobrze byłoby gdyby usługi mogły startować i bindować się do określonych adresów gdy łącze jest nieczynne.

Minimalna ilość pamięci używana do składania fragmentów IP.

Czas w sekundach, przez który fragmenty IP są przetrzymywane w pamięci.

Wartość logiczna kontrolująca zachowanie w przypadku dużej ilości połączeń przychodzących. Jeśli ustawiona na `1' powoduje, że kernel aktywnie wysyła pakiety RST gdy usługa jest przeładowana.

Czas przez który utrzymywać gniazdo w stanie FIN-WAIT-2 jeśli zostało zamknięte przez drugą stronę. Mogło dojść do awarii lub w ogóle zniknięcia z sieci i nigdy nie doczekamy się końca sesji. Domyślnie wynosi 60 sekund. W kernelach 2.2 używano wartości 180 sekund, więc możesz chcieć tak ustawić swoje jądro, ale pamiętaj, że jeśli twój komputer jest np. przeładowanym serwerem WWW ryzykujesz przeładowanie pamięci kilotonami martwych gniazd. Co prawda gniazda w stanie FIN-WAIT-2 są mniej groźne niż w stanie FIN-WAIT-1 ponieważ zabieraja tylko po 1.5kB pamięci, ale generalnie żyją zwykle dłużej. Zajrzyj również do opisu `tcp_max_orphans'.

Jak często TCP wysyła wiadomości `keepalive', jeśli włączono tą funkcję - domyślnie co 2 godziny.

Jak często retransmitowane są wiadomości `keepalive', jeśli nie zostaną potwierdzone - domyślnie co 75 sekund.

Jak wiele wiadomości `keepalive' zostanie wysłanych, zanim kernel zdecyduje, że połączenie zostało przerwane - domyślnie 9. Pomnożone przez wartość `tcp_keepalive_intvl' pozwala obliczyć przez jak długi czas połaczenie może nie przekazywać pakietów po wysłaniu pierwszej wiadomości `keepalive'.

Maksymalna ilość gniazd TCP utrzymywanych przez system, nie dołączonych do żadnego uchwytu pliku użytkownika. Jeśli wartość ta zostanie przekroczona, osierocone połączenia są resetowane i wysyłane jest ostrzeżenie. Limit istnieje tylko po to, by zapobiec prostym atakom DoS, nie możesz polegać tylko na nim, lub zbyt go obniżyć, a raczej powinieneś nawet go zwiększyć (być może po zwiększeniu pamięci), jeśli warunki sieciowe wymagają więcej niż domyślna wartość. To usługi powinny zajmować się śledzeniem i eliminowaniem takich stanów bardziej agresywniej. Pozwól sobie przypomnieć ważną informację: każde osierocone gniazdo to stracone około 64K pamięci, której nie można wyrzucić do pliku wymiany.

Jak wiele razy próbować ponowić próbę, zanim połączenie TCP zostanie zabite po naszej stronie. Domyślna wartość `7' odpowiada około ~50 sekundom - 16 minutom w zależności od RTO. Jeśli masz przeładowaną maszynę powinieneś rozważyć obniżenie tej wartości, ponieważ gniazda mogą zająć wiele zasobów.

Maksymalna ilość pamiętanych żądań połączeń, które nadal nie zostały potwierdzone przez klienta. Domyślna wartość 1024 jest właściwa dla systemów z pamięcią powyżej 128MB, a 128 jest dobre dla komputerów z mniejszą ilością pamięci. Jeśli masz przeładowany serwer spróbuj zwiększyć tą wartość. Uwaga! Jeśli ustawisz ją na więcej niż 1024, lepiej będzie zmienić również TCP_SYNQ_HSIZE w pliku include/net/tcp.h by utrzymać zależność TCP_SYNQ_HSIZE*16<=tcp_max_syn_backlog i przekompilować kernel.

Maksymalna ilość gniazd w stanie TIMEWAIT utrzymywana w danym momencie przez system. Jeśli ta wartość zostanie przekroczona, gniazdo jest niszczone i generowane jest ostrzeżenie. Limit istnieje tylko po to, by zapobiec prostym atakom DoS, nie możesz polegać tylko na nim, lub zbyt go obniżyć (być może po zwiększeniu pamięci), jeśli warunki sieciowe wymagają więcej niż domyślna wartość.

Włączenie błędu, który może być konieczny do obsłużenia innego błędu w rzypadku pracy z niektórymi uszkodzonymi drukarkami. W czasie retransmisji pakietów powoduje wysyłanie większych pakietów by niektóre stosy TCP prawidłowo je rozpoznały.

Jak wiele razy próbować, zanim stwierdzimy że coś jest nie tak i należy to zgłosić do warstwy sieciowej. Minimalną wartością zalecaną w RFC jest `3' i jest to wartość domyślna. Odpowiada ~3 sekundom - 8 minutom w zależności od RTO.

Jak wiele razy próbować przed zabiciem żywej sesji TCP. RFC1122 mówi, że limit ten powinien wynosić więcej niż 100 sekund, ale jest to za mało. Domyślną wartością jest 15, co odpowiada ~13-30 minutom w zależności od RTO.

Ta wartość logiczna włącza poprawki opisane w RFC 1337 związane z niebezpieczeństwami ginięcia gniazd w stanie time-wait. Jeśli zostanie ustawiona, kernel odrzuca pakiety RST dla gniazd w stanie time-wait. Domyślnie wyłączone (`0').

Użyj selektywnego ACK, co może pomóc stwierdzić, że brakuje pewnych pakietów - a w związku z tym wspomóc proces odzyskiwania zasobów.

Użyj interpretacji wymagań w stosunku do hosta dla wskaźnika pilnych danych. Większość komputerów używa starej implementacji BSD, więc jeśli ją włączysz, Linux może nie móc się z nimi komunikować. Domyślnie wyłączone (`0').

Ilość pakietów SYN, które wyśle kernel zanim się podda podczas kreowania nowego połączenia.

By otworzyć zdalne połączenie, kernel wysyła pakiet z ustawioną flagą SYN i ACK wskazującą na poprzedni, tak by go potwierdzić. Jest to część druga trzy-stopniowego przywitania. Ten parametr kontroluje ile pakietów zostanie wysłanych, zanim kernel podda się i odrzuci połączenie.

Znaczniki czasu używane są, między innymi, do ochrony przed `zawijaniem' się numerów sekwencyjnych. Na łączu 1 gigabitowym połączenia mogłyby łatwo zacząć używać już raz użytych numerów sekwencyjnych, w związku z tym używa się dodatkowo znaczników czasu.

Włącz szybkie odzyskiwane gniazd TIME-WAIT. Domyślnie ustawione. Nie powinno być zmieniane bez poinstruowania wprost przez ekspertów technicznych.

TCP/IP umożliwia normalnie obsługę okien do rozmiarów 65535 bajtów. Dla bardzo szybkich sieci może to nie być wystarczająca wartość. Opcje skalowania okien pozwalają rozszerzyć je aż do łączy gigabitowych, co jest pożyteczne dla połączeń z dużymi przepustowościami.

Jeśli router zdecyduje, że używasz go do złych celów (np. to przesyłania dalej twoich pakietów na tym samym interfejsie), wyśle pakiet ICMP Redirect (przekierowanie). Jest to trochę niebezpieczne, więc być może chciałbyś wyłączyć tą opcję, lub używać bezpiecznych przekierowań.

Rzadko używane. Można było dać pakietowi listę adresów IP, które powinien odwiedzić po drodze. Można poinstruować Linuksa, by honorował tą opcję IP.

Akceptuj pakiety z adresem źródłowym 0.b.c.d i adresem docelowym nie kierowanym do tego hosta tak, jakby były to pakiety lokalne. Zakłada się, że demon BOOTP przechwyci je i przekaże dalej.

Domyślną wartością jest 0, ponieważ ta funkcjonalność nie jest jeszcze zaimplementowana (kernel w wersji 2.2.12).

Włącz lub wyłącz przekazywanie pakietów IPv4 przez ten interfejs.

Zajrzyj do sekcji Reverse Path Filtering.

Jeśli przekazujemy multicasty na danym interfejsie.

Jeśli ustawisz na `1', wszystkie interfejsy będą odpowiadały na zapytania ARP dla adresów znajdujących się na tym interfejsie. Może być bardzo użyteczne przy budowaniu `pseudo-mostów ip'. Upewnij się, że maski sieciowe są poprawne zanim to włączysz! Weź również pod uwagę, że wspomniany poniżej `rp_filter' również działa na zapytaniach ARP!

Zajrzyj do sekcji Reverse Path Filtering.

Akceptuj przekierowania ICMP tylko dla bramek wymienionych w liście domyślnych bramek. Domyślnie włączone.

Jeśli wysyłamy wymienione wcześniej przekierowania.

Jeśli nie jest ustawiona, kernel nie zakłada że różne podsieci na tym urządzeniu mogą komunikować się bezpośrednio. Domyślnie ustawione na `tak'.

FIXME: wypełnić to

Maksimum dla losowych opóźnień wysyłania odpowiedzi na komunikaty sąsiadów, wyrażane w `jiffies'. Nie zaimplementowana (Linuks nie wspiera obecnie anycastów).

Określa ilość żądąń do wysłania do demona ARP w przestrzeni użytkownika. Ustaw na 0 by wyłączyć.

Podstawowa wartość używana do wyliczania losowych czasów osiągalności tak jak określono to w RFC 2461.

Opóźnienie dla pierwszej próby sprawdzenia, czy sąsiad jest osiągalny (patrz gc_stale_time).

Określa jak często sprawdzać aktualność wpisów ARP. Po wygaśnięciu wpisu ARP zostanie podjęta próba rozwiązania go ponownie - co przydaje się w sytuacji gdy adres przejęła inna maszyna. Gdy `ucast_solicit' jest większe od 0, kernel wyśle najpierw pakiet ARP bezpośrednio do ostatniego znanego hosta. Jeśli się to nie powiedzie, a `mcast_solicit' jest również ustawione powyżej 0, wysyłane jest rozgłoszenie ARP.

Stary wpis o ARP sąsiada jest zastępowany nowym tylko wtedy, gdy stary ma przynajmniej równowartość `locktime'. Zapobiega to zaśmiecaniu pamięci podręcznej ARP.

Maksymalna ilość prób rozgłoszeń multicast.

Maksymalny czas (czas rzeczywisty jest losową z zakresu [0..proxytime]) zanim odpowiemy na zapytanie ARP dla którego posiadamy wpis w proxy ARP. W niektórych przypadkach pomaga to zalewaniu sieci potokiem ramek.

Maksymalna długość kolejki licznika proxy-arp działającego z opóźnieniem (patrz również proxy_delay).

Czas, wyrażony w `jiffies' pomiędzy transmisją wiadomości do sąsiadów. Używane do rozwiązywania adresów i określenia, czy sąsiad jest faktycznie osiągalny.

Maksymalna ilość rozgłoszeń unicastowych o sąsiedztwo.

Maksymalna długość kolejki dla zaległych wywołań ARP - ilość pakietów akceptowana z innych warstw, w czasie gdy adres jest nadal rozwiązywany.

Książka opisująca zagadnienia związane z Jakością Usług w sieciach. Bardzo dobra do zrozumienia podstawowych koncepcji.

Parametr kontrolujący i ograniczający ilość wiadomości z ostrzeżeniami zapisywanymi do logu kernela z kodu routującego. Im wyższa wartość `error_cost' tym mniej wiadomości zostaje zapisanych. `error_burst' kontroluje kiedy wiadomości będą odrzucane. Domyślne ustawienia ograniczają generowanie wiadomości do jednej na pięć sekund.

Parametr kontrolujący i ograniczający ilość wiadomości z ostrzeżeniami zapisywanymi do logu kernela z kodu routującego. Im wyższa wartość `error_cost' tym mniej wiadomości zostaje zapisanych. `error_burst' kontroluje kiedy wiadomości będą odrzucane. Domyślne ustawienia ograniczają generowanie wiadomości do jednej na pięć sekund.

Zapis do tego pliku powoduje wyczyszczenie pamięci podręcznej routingu.

Wartości kontrolujące częstotliwość i zachowanie algorytmu zbierającego śmieci w kodzie routingu. Może to być istotne w sytuacji gdy pracujesz w konfiguracji redundantnej. Przynajmniej `gc_timeout' sekund upłynie, zanim Linuks przejdzie do kolejnej dostępnej trasy z uwagi na niedostępność poprzedniej. Domyślnie ustawione na 300 - być może będziesz chciał zmniejszyć tą wartość by przyśpieszyć przełączenie tras.

Zobacz również ten post autorstwa Ard van Breemen.

Zobacz /proc/sys/net/ipv4/route/gc_elasticity.

Zobacz /proc/sys/net/ipv4/route/gc_elasticity.

Zobacz /proc/sys/net/ipv4/route/gc_elasticity.

Zobacz /proc/sys/net/ipv4/route/gc_elasticity.

Opóźnienie w opróżnianiu pamięci podręcznej routingu.

Maksymalny rozmiar pamięci podręcznej routingu. Stare wpisy będą usuwane jak tylko pamięć podręczna osiągnie rozmiar wskazany tą zmienną.

FIXME: wypełnić to

Opóźnienie w opróżnianiu pamięci podręcznej routingu.

FIXME: wypełnić to

FIXME: wypełnić to

Wartości określające czy przekierowania ICMP powinny być wysyłane do danego hosta. Przekierowania nie będą wysyłane jeśli zostanie osiągnięty określony limit.

Zobacz /proc/sys/net/ipv4/route/redirect_load.

Czas wygasania dla przekierowań. Po tym okresie przekierowania zostaną wysłane jeszcze raz, nawet jeśli zostało to zablokowane z uwagi na osiągnięcie limitu.