Meilleurs params pour un routeur

31/03/2007, 11h00

Salut la liste,

je vais mettre en place un routeur/firewall basé sur Debian sur machine
soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps)

Ce que ce routeur va fait :
1/ one-to-one NAT sur une class C (translation IP publiques / IP privées)
2/ firewall avec shorewall
3/ les règles sont assez basiques :
- ouverture de tout pour 2-3 IP fixes
- ouverture des ports 53/80/443/25/110 pour internet
- ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql,
postgres)
4/ ce firewall peut router/commuter énormement de paquets car les serveurs
qui sont derrière sont à forts trafics

J'ai déjà mis deci dans mon /etc/sysctl.conf :

# Set the ip_conntrack limit
net.ipv4.netfilter.ip_conntrack_max=65500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800

#
# Set the arp limit
# pour eviter Neighbour table overflow
net.ipv4.neigh.default.gc_thresh1=512
net.ipv4.neigh.default.gc_thresh2=2048
net.ipv4.neigh.default.gc_thresh3=4096

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max=16000
net.ipv4.ip_conntrack_max=65500
#net.ipv4.ip_conntrack_max=100000

# Ignorer les mauvais messages d'erreurs ICMP
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignorer les messages de diffusion ICMP
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Journaliser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.log_martians = 1

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1

# Refuser les messages ICMP redirect
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

# Refuser le routage source
net.ipv4.conf.all.accept_source_route = 0

# Se proteger des attaques de type Syn Flood
net.ipv4.tcp_syn = 1
net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_ecn = 1

Ces valeurs vous paraissent-elles corectes ?
Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ?

Tout retour d'expérience/conseils sont les bienvenus ...

Merci

Franck
--
http://www.linuxpourtous.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

31/03/2007, 12h30

Franck a écrit :
>
> J'ai déjà mis ceci dans mon /etc/sysctl.conf :
[...]
> Ces valeurs vous paraissent-elles corectes ?

Pas d'avis particuliers sur les valeurs, mais quelques remarques.

> net.ipv4.netfilter.ip_conntrack_max=65500
>
> # Ne pas permettre les connexions TCP de plus de 2 jours
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800

Ça n'empêchera pas les connexions de plus de deux jours mais fera
seulement oublier celles qui sont inactives depuis plus de deux jours.

> # pour eviter des problèmes avec les serveurs très chargés
> fs.file-max=16000

Quel rapport avec la fonction de la machine ?

> net.ipv4.ip_conntrack_max=65500

C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
de le mettre une deuxième fois.

> # Refuser les adresses sources falsifiées ou non routables
> net.ipv4.conf.all.rp_filter = 1

J'attire ton attention sur le fait que ce type de paramètre existe aussi
séparément pour chaque interface, et que le résultat pour une interface
donnée est la combinaison des deux. Pour certains comme rp_filter c'est
un ET logique, pour d'autres c'est un OU logique. Par exemple pour
activer la vérification d'adresse source sur toutes les interfaces, il
faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
configuration IP des interfaces (la valeur dans conf.default.<parametre>
est recopiée dans conf.<interface>.<parametre> lors de la création de ce
dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
1 après la configuration IP.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

31/03/2007, 12h30

Franck a écrit :
>
> J'ai déjà mis ceci dans mon /etc/sysctl.conf :
[...]
> Ces valeurs vous paraissent-elles corectes ?

Pas d'avis particuliers sur les valeurs, mais quelques remarques.

> net.ipv4.netfilter.ip_conntrack_max=65500
>
> # Ne pas permettre les connexions TCP de plus de 2 jours
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800

Ça n'empêchera pas les connexions de plus de deux jours mais fera
seulement oublier celles qui sont inactives depuis plus de deux jours.

> # pour eviter des problèmes avec les serveurs très chargés
> fs.file-max=16000

Quel rapport avec la fonction de la machine ?

> net.ipv4.ip_conntrack_max=65500

C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
de le mettre une deuxième fois.

> # Refuser les adresses sources falsifiées ou non routables
> net.ipv4.conf.all.rp_filter = 1

J'attire ton attention sur le fait que ce type de paramètre existe aussi
séparément pour chaque interface, et que le résultat pour une interface
donnée est la combinaison des deux. Pour certains comme rp_filter c'est
un ET logique, pour d'autres c'est un OU logique. Par exemple pour
activer la vérification d'adresse source sur toutes les interfaces, il
faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
configuration IP des interfaces (la valeur dans conf.default.<parametre>
est recopiée dans conf.<interface>.<parametre> lors de la création de ce
dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
1 après la configuration IP.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

01/04/2007, 08h20

hello,

>
>
> Franck a écrit :
>>
>> J'ai déjà mis ceci dans mon /etc/sysctl.conf :
> [...]
>> Ces valeurs vous paraissent-elles corectes ?
>
> Pas d'avis particuliers sur les valeurs, mais quelques remarques.
>
>> net.ipv4.netfilter.ip_conntrack_max=65500
>>
>> # Ne pas permettre les connexions TCP de plus de 2 jours
>> net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800
>
> Ça n'empêchera pas les connexions de plus de deux jours mais fera
> seulement oublier celles qui sont inactives depuis plus de deux jours.
>
>> # pour eviter des problèmes avec les serveurs très chargés
>> fs.file-max=16000
>
> Quel rapport avec la fonction de la machine ?
>
>> net.ipv4.ip_conntrack_max=65500
>
> C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
> de le mettre une deuxième fois.
>
>> # Refuser les adresses sources falsifiées ou non routables
>> net.ipv4.conf.all.rp_filter = 1
>
> J'attire ton attention sur le fait que ce type de paramètre existe aussi
> séparément pour chaque interface, et que le résultat pour une interface
> donnée est la combinaison des deux. Pour certains comme rp_filter c'est
> un ET logique, pour d'autres c'est un OU logique. Par exemple pour
> activer la vérification d'adresse source sur toutes les interfaces, il
> faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
> configuration IP des interfaces (la valeur dans conf.default.<parametre>
> est recopiée dans conf.<interface>.<parametre> lors de la création de ce
> dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
> 1 après la configuration IP.

Merci pour toutes ces remarques, je vais les mettre en application

Franck
--
http://www.linuxpourtous.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

01/04/2007, 08h20

hello,

>
>
> Franck a écrit :
>>
>> J'ai déjà mis ceci dans mon /etc/sysctl.conf :
> [...]
>> Ces valeurs vous paraissent-elles corectes ?
>
> Pas d'avis particuliers sur les valeurs, mais quelques remarques.
>
>> net.ipv4.netfilter.ip_conntrack_max=65500
>>
>> # Ne pas permettre les connexions TCP de plus de 2 jours
>> net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800
>
> Ça n'empêchera pas les connexions de plus de deux jours mais fera
> seulement oublier celles qui sont inactives depuis plus de deux jours.
>
>> # pour eviter des problèmes avec les serveurs très chargés
>> fs.file-max=16000
>
> Quel rapport avec la fonction de la machine ?
>
>> net.ipv4.ip_conntrack_max=65500
>
> C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
> de le mettre une deuxième fois.
>
>> # Refuser les adresses sources falsifiées ou non routables
>> net.ipv4.conf.all.rp_filter = 1
>
> J'attire ton attention sur le fait que ce type de paramètre existe aussi
> séparément pour chaque interface, et que le résultat pour une interface
> donnée est la combinaison des deux. Pour certains comme rp_filter c'est
> un ET logique, pour d'autres c'est un OU logique. Par exemple pour
> activer la vérification d'adresse source sur toutes les interfaces, il
> faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
> configuration IP des interfaces (la valeur dans conf.default.<parametre>
> est recopiée dans conf.<interface>.<parametre> lors de la création de ce
> dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
> 1 après la configuration IP.

Merci pour toutes ces remarques, je vais les mettre en application

Franck
--
http://www.linuxpourtous.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

31/03/2007, 11h00	#1
Franck Messages: n/a Hébergeur:	Meilleurs params pour un routeur Salut la liste, je vais mettre en place un routeur/firewall basé sur Debian sur machine soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps) Ce que ce routeur va fait : 1/ one-to-one NAT sur une class C (translation IP publiques / IP privées) 2/ firewall avec shorewall 3/ les règles sont assez basiques : - ouverture de tout pour 2-3 IP fixes - ouverture des ports 53/80/443/25/110 pour internet - ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql, postgres) 4/ ce firewall peut router/commuter énormement de paquets car les serveurs qui sont derrière sont à forts trafics J'ai déjà mis deci dans mon /etc/sysctl.conf : # Set the ip_conntrack limit net.ipv4.netfilter.ip_conntrack_max=65500 # Ne pas permettre les connexions TCP de plus de 2 jours net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800 # # Set the arp limit # pour eviter Neighbour table overflow net.ipv4.neigh.default.gc_thresh1=512 net.ipv4.neigh.default.gc_thresh2=2048 net.ipv4.neigh.default.gc_thresh3=4096 # pour eviter des problèmes avec les serveurs très chargés fs.file-max=16000 net.ipv4.ip_conntrack_max=65500 #net.ipv4.ip_conntrack_max=100000 # Ignorer les mauvais messages d'erreurs ICMP net.ipv4.icmp_ignore_bogus_error_responses = 1 # Ignorer les messages de diffusion ICMP net.ipv4.icmp_echo_ignore_broadcasts = 1 # Journaliser les adresses sources falsifiées ou non routables net.ipv4.conf.all.log_martians = 1 # Refuser les adresses sources falsifiées ou non routables net.ipv4.conf.all.rp_filter = 1 # Refuser les messages ICMP redirect net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 # Refuser le routage source net.ipv4.conf.all.accept_source_route = 0 # Se proteger des attaques de type Syn Flood net.ipv4.tcp_syn = 1 net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_ecn = 1 Ces valeurs vous paraissent-elles corectes ? Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ? Tout retour d'expérience/conseils sont les bienvenus ... Merci Franck -- http://www.linuxpourtous.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

31/03/2007, 12h30	#2
Pascal Hambourg Messages: n/a Hébergeur:	Re: Meilleurs params pour un routeur Franck a écrit : > > J'ai déjà mis ceci dans mon /etc/sysctl.conf : [...] > Ces valeurs vous paraissent-elles corectes ? Pas d'avis particuliers sur les valeurs, mais quelques remarques. > net.ipv4.netfilter.ip_conntrack_max=65500 > > # Ne pas permettre les connexions TCP de plus de 2 jours > net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800 Ça n'empêchera pas les connexions de plus de deux jours mais fera seulement oublier celles qui sont inactives depuis plus de deux jours. > # pour eviter des problèmes avec les serveurs très chargés > fs.file-max=16000 Quel rapport avec la fonction de la machine ? > net.ipv4.ip_conntrack_max=65500 C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile de le mettre une deuxième fois. > # Refuser les adresses sources falsifiées ou non routables > net.ipv4.conf.all.rp_filter = 1 J'attire ton attention sur le fait que ce type de paramètre existe aussi séparément pour chaque interface, et que le résultat pour une interface donnée est la combinaison des deux. Pour certains comme rp_filter c'est un ET logique, pour d'autres c'est un OU logique. Par exemple pour activer la vérification d'adresse source sur toutes les interfaces, il faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 avant la configuration IP des interfaces (la valeur dans conf.default.<parametre> est recopiée dans conf.<interface>.<parametre> lors de la création de ce dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à 1 après la configuration IP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

31/03/2007, 12h30	#3
Pascal Hambourg Messages: n/a Hébergeur:	Re: Meilleurs params pour un routeur Franck a écrit : > > J'ai déjà mis ceci dans mon /etc/sysctl.conf : [...] > Ces valeurs vous paraissent-elles corectes ? Pas d'avis particuliers sur les valeurs, mais quelques remarques. > net.ipv4.netfilter.ip_conntrack_max=65500 > > # Ne pas permettre les connexions TCP de plus de 2 jours > net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800 Ça n'empêchera pas les connexions de plus de deux jours mais fera seulement oublier celles qui sont inactives depuis plus de deux jours. > # pour eviter des problèmes avec les serveurs très chargés > fs.file-max=16000 Quel rapport avec la fonction de la machine ? > net.ipv4.ip_conntrack_max=65500 C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile de le mettre une deuxième fois. > # Refuser les adresses sources falsifiées ou non routables > net.ipv4.conf.all.rp_filter = 1 J'attire ton attention sur le fait que ce type de paramètre existe aussi séparément pour chaque interface, et que le résultat pour une interface donnée est la combinaison des deux. Pour certains comme rp_filter c'est un ET logique, pour d'autres c'est un OU logique. Par exemple pour activer la vérification d'adresse source sur toutes les interfaces, il faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 avant la configuration IP des interfaces (la valeur dans conf.default.<parametre> est recopiée dans conf.<interface>.<parametre> lors de la création de ce dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à 1 après la configuration IP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

01/04/2007, 08h20	#4
Franck Messages: n/a Hébergeur:	Re: Meilleurs params pour un routeur hello, > > > Franck a écrit : >> >> J'ai déjà mis ceci dans mon /etc/sysctl.conf : > [...] >> Ces valeurs vous paraissent-elles corectes ? > > Pas d'avis particuliers sur les valeurs, mais quelques remarques. > >> net.ipv4.netfilter.ip_conntrack_max=65500 >> >> # Ne pas permettre les connexions TCP de plus de 2 jours >> net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800 > > Ça n'empêchera pas les connexions de plus de deux jours mais fera > seulement oublier celles qui sont inactives depuis plus de deux jours. > >> # pour eviter des problèmes avec les serveurs très chargés >> fs.file-max=16000 > > Quel rapport avec la fonction de la machine ? > >> net.ipv4.ip_conntrack_max=65500 > > C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile > de le mettre une deuxième fois. > >> # Refuser les adresses sources falsifiées ou non routables >> net.ipv4.conf.all.rp_filter = 1 > > J'attire ton attention sur le fait que ce type de paramètre existe aussi > séparément pour chaque interface, et que le résultat pour une interface > donnée est la combinaison des deux. Pour certains comme rp_filter c'est > un ET logique, pour d'autres c'est un OU logique. Par exemple pour > activer la vérification d'adresse source sur toutes les interfaces, il > faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 avant la > configuration IP des interfaces (la valeur dans conf.default.<parametre> > est recopiée dans conf.<interface>.<parametre> lors de la création de ce > dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à > 1 après la configuration IP. Merci pour toutes ces remarques, je vais les mettre en application Franck -- http://www.linuxpourtous.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

01/04/2007, 08h20	#5
Franck Messages: n/a Hébergeur:	Re: Meilleurs params pour un routeur hello, > > > Franck a écrit : >> >> J'ai déjà mis ceci dans mon /etc/sysctl.conf : > [...] >> Ces valeurs vous paraissent-elles corectes ? > > Pas d'avis particuliers sur les valeurs, mais quelques remarques. > >> net.ipv4.netfilter.ip_conntrack_max=65500 >> >> # Ne pas permettre les connexions TCP de plus de 2 jours >> net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished=172800 > > Ça n'empêchera pas les connexions de plus de deux jours mais fera > seulement oublier celles qui sont inactives depuis plus de deux jours. > >> # pour eviter des problèmes avec les serveurs très chargés >> fs.file-max=16000 > > Quel rapport avec la fonction de la machine ? > >> net.ipv4.ip_conntrack_max=65500 > > C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile > de le mettre une deuxième fois. > >> # Refuser les adresses sources falsifiées ou non routables >> net.ipv4.conf.all.rp_filter = 1 > > J'attire ton attention sur le fait que ce type de paramètre existe aussi > séparément pour chaque interface, et que le résultat pour une interface > donnée est la combinaison des deux. Pour certains comme rp_filter c'est > un ET logique, pour d'autres c'est un OU logique. Par exemple pour > activer la vérification d'adresse source sur toutes les interfaces, il > faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 avant la > configuration IP des interfaces (la valeur dans conf.default.<parametre> > est recopiée dans conf.<interface>.<parametre> lors de la création de ce > dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à > 1 après la configuration IP. Merci pour toutes ces remarques, je vais les mettre en application Franck -- http://www.linuxpourtous.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email