调整内核网络参数提高系统安全覆盖

自行车骑行不仅仅是一项运动 二、ip相关内核配置参数 linux内核络参数中关于ip的配置参数通常是用来定义或调整ip包的一些特定的参数，除此之外还定义了系统的一些络特性。 1．ip_default_ttl：设置从本机发出的ip包的生存时间，参数值为整数，范围为0～128,缺省值为64。在windows系统中，ip包的生存时间通常为128。如果你的系统经常得到“Time to live exceeded”的icmp回应，可以适当增大该参数的值，但是也不能过大，因为如果你的路由的环路的话，就会增加系统报错的时间。 2．ip_dynaddr：该参数通常用于使用拨号连接的情况，可以使系统动能够立即改变ip包的源地址为该ip地址，同时中断原有的tcp对话而用新地址重新发出一个syn请求包，开始新的tcp对话。在使用ip欺骗时，该参数可以立即改变伪装地址为新的ip地址。该参数的参数值可以是： 1：启用该功能； 2：使用冗余模式启用该功能； 0：禁止该功能。 应用实例： 在使用ipchains配置ip欺骗带动局域共享一个ppp连接上时，有时会出现刚开时连接一个站点连不通，再次刷新又可以连接的情况，这时候就可以设置该参数的值为1，从而立即改变伪装地址为新的ip地址，就可以解决这类问题。命令为： 　　echo \"1\" /proc/sys/net/ipv4/ip_dynaddr

_forward：可以通过该参数来启用包转发功能，从而使系统充当路由器。参数值为1时启用ip转发，为0时禁止ip转发。注意，我们可以在单卡或双卡的主机上实现ip转发。 应用实例： 假设我们使用一部装有双卡的linux主机充当防火墙，这时候我们就必须执行以下命令来打开ip转发功能： 　　echo \"1\" /proc/sys/net/ipv4/ip_forward

4. ip_local_port_range：设置当本地系统向外发起tcp或udp连接请求时使用的端口范围。设置值为两个整数，缺省为“1024 4999”。 应用实例： 　　echo \"1450 6000\" /proc/sys/net/ipv4/ip_local_port_range