PHWinfo - Afficher un message

31/03/2007, 12h00

Salut la liste,

je vais mettre en place un routeur/firewall basé sur Debian sur machine
soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps)

Ce que ce routeur va fait :
1/ one-to-one NAT sur une class C (translation IP publiques / IP privées)
2/ firewall avec shorewall
3/ les règles sont assez basiques :
- ouverture de tout pour 2-3 IP fixes
- ouverture des ports 53/80/443/25/110 pour internet
- ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql,
postgres)
4/ ce firewall peut router/commuter énormement de paquets car les serveurs
qui sont derrière sont à forts trafics

J'ai déjà mis deci dans mon /etc/sysctl.conf :

# Set the ip_conntrack limit
net.ipv4.netfilter.ip_conntrack_max=65500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800

#
# Set the arp limit
# pour eviter Neighbour table overflow
net.ipv4.neigh.default.gc_thresh1=512
net.ipv4.neigh.default.gc_thresh2=2048
net.ipv4.neigh.default.gc_thresh3=4096

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max=16000
net.ipv4.ip_conntrack_max=65500
#net.ipv4.ip_conntrack_max=100000

# Ignorer les mauvais messages d'erreurs ICMP
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignorer les messages de diffusion ICMP
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Journaliser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.log_martians = 1

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1

# Refuser les messages ICMP redirect
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

# Refuser le routage source
net.ipv4.conf.all.accept_source_route = 0

# Se proteger des attaques de type Syn Flood
net.ipv4.tcp_syn = 1
net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_ecn = 1

Ces valeurs vous paraissent-elles corectes ?
Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ?

Tout retour d'expérience/conseils sont les bienvenus ...

Merci

Franck
--
http://www.linuxpourtous.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

31/03/2007, 12h00	#1
Franck Messages: n/a Hébergeur:	Meilleurs params pour un routeur Salut la liste, je vais mettre en place un routeur/firewall basé sur Debian sur machine soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps) Ce que ce routeur va fait : 1/ one-to-one NAT sur une class C (translation IP publiques / IP privées) 2/ firewall avec shorewall 3/ les règles sont assez basiques : - ouverture de tout pour 2-3 IP fixes - ouverture des ports 53/80/443/25/110 pour internet - ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql, postgres) 4/ ce firewall peut router/commuter énormement de paquets car les serveurs qui sont derrière sont à forts trafics J'ai déjà mis deci dans mon /etc/sysctl.conf : # Set the ip_conntrack limit net.ipv4.netfilter.ip_conntrack_max=65500 # Ne pas permettre les connexions TCP de plus de 2 jours net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800 # # Set the arp limit # pour eviter Neighbour table overflow net.ipv4.neigh.default.gc_thresh1=512 net.ipv4.neigh.default.gc_thresh2=2048 net.ipv4.neigh.default.gc_thresh3=4096 # pour eviter des problèmes avec les serveurs très chargés fs.file-max=16000 net.ipv4.ip_conntrack_max=65500 #net.ipv4.ip_conntrack_max=100000 # Ignorer les mauvais messages d'erreurs ICMP net.ipv4.icmp_ignore_bogus_error_responses = 1 # Ignorer les messages de diffusion ICMP net.ipv4.icmp_echo_ignore_broadcasts = 1 # Journaliser les adresses sources falsifiées ou non routables net.ipv4.conf.all.log_martians = 1 # Refuser les adresses sources falsifiées ou non routables net.ipv4.conf.all.rp_filter = 1 # Refuser les messages ICMP redirect net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 # Refuser le routage source net.ipv4.conf.all.accept_source_route = 0 # Se proteger des attaques de type Syn Flood net.ipv4.tcp_syn = 1 net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_ecn = 1 Ces valeurs vous paraissent-elles corectes ? Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ? Tout retour d'expérience/conseils sont les bienvenus ... Merci Franck -- http://www.linuxpourtous.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org