(5).net.inet.ip.portrange.*
是用來控制 TCP 及 UDP 所使用的 port 範圍,這個範圍被分成三個部份,低範圍、預設範圍、及高範圍。讓我們看一下目前各範圍 port 的情形:
net.inet.ip.portrange.first: 49152
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535
net.inet.ip.portrange.last: 65535
net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600
default=
net.inet.ip.portrange.first: 49152
net.inet.ip.portrange.last: 65535
( 6).kern.ipc.somaxconn
這個選項控制了 TCP 連線等候區最多可以等待的連線數量,其預設值為 128,不過這個值對於一台忙碌的伺服器而言可能小了點。例如大型的網頁伺服器、郵件伺服器,我們可以將它設為 1024。要注意的是在一些網路服務的程式中,如 Apache 及 sendmail 也有自己的等待數量設定,我們可能也要在那些軟體上做一些設定才會讓 kern.ipc.somaxconn 發生作用。將這個選項的值調大一點還有一個好處,就是在面對 Denial of service 的攻擊時,有較好的防衛能力。
default=
kern.ipc.somaxconn:128
(7).kern.maxfiles
這個選項控制了系統中支援最多開啟的檔案數量,這個值通常是幾千個檔,但對於一台忙碌的資料庫系統或是會開啟許多檔案的伺服器而言,我們可以將它調高為一、二萬。
default=
kern.maxfiles:12288
( 8).net.inet.tcp.always_keepalive
設置為1會幫助系統清除沒有正常中斷的TCP連線,這增加了一些網路頻寬的使用;但是當一些死掉的連線最終還是能被識別並清除。
default=
net.inet.tcp.always_keepalive:0
(9).net.inet.tcp.msl
這項參數在定義最大的區段Life(Maximun Segment Lift),主要是防止DoS(Denial of Service的簡稱,即拒絕服務)攻擊。
也就是當駭客發出一連串SYN封包,而我們的電腦要回應一個SYN-ACK封包,然後等對方(駭客)回應ACK封包,
由於駭客並不產生任何ACK封包給我們的電腦,因此我們的電腦佇列裡面會暫存大量的SYN-ACK封包,這些封包必須等到收到對方的ACK封包或是超過逾時時間之後才會被移除。如此我們的電腦會因為充滿了SYN-ACK封包而造成無法再處理其他使用者的服務與要求。
在FreeBSD是設定為30000,如想要有強大DoS保護則必須設定更小的值。
default=
net.inet.tcp.msl:600
參考:FreeBSD 6.0架設管理與應用
