Documentation de sysctl (partie IP) sous Linux

Posté par Tony Gencyl le 11 octobre 2002 à 10:49. Modéré par Fabien Penso.

Étiquettes :

oct.

2002

Vu sur l'excellente mailing list LARTC (Linux Advanced Routing and Traffic Control), un document en cours de rédaction (mais tout de même bien avancé) sur la commande sysctl (et donc le contenu du /proc) sur la partie IP de Linux "seulement" ...

Comme d'habitude pour ce genre de travail communautaire, l'auteur encourage les suggestions/corrections/critiques/encouragements en vue de l'amélioration de son travail.

Aller plus loin

sysctl pour IP (41 clics)

# Bravo!

Posté par DaFrog le 11 octobre 2002 à 11:30. Évalué à 7.

Juste un mot pour féliciter l'auteur de cette référence très pratique pour les utilisateurs d'un noyau 2.4 un peu soucieux de leur gestion IP (tout le monde?).

DaFrog
- [^] # Re: Bravo!
  
  Posté par Pierre Tramo le 11 octobre 2002 à 12:06. Évalué à 10.
  
  tout le monde ?
  Heuuuuuu non. :)
  
  Mon réseau fonctionne correctement, mes scripts iptable aussi. Ca me suffit largement. Et puis s'il fallait systématiquement plonger dans l'avalanche de détails techniques à chaque fois que l'on utilise une fonctionnalité du noyau, je serais encore en train de lire les sources de l'installeur de la Debian. :)
  
  Ceci dit, le document a l'air intéressant, de même qu'il est utile de savoir qu'il existe. J'en aurais peut-être besoin un jour qui sait.
  - [^] # Re: Bravo!
    
    Posté par DaFrog le 11 octobre 2002 à 13:55. Évalué à 10.
    
    > Mon réseau fonctionne correctement, mes scripts iptable aussi. Ca me suffit largement.
    
    C'est malheureusement le cas de la plupart des gens, or si tu ne sais pas ce qui se cache, par exemple dans "icmp_echo_ignore_broadcasts", tu peux être, à ton insu utilisé pour lancer une attaque smurf...
    
    Moralité, la paranoïa est ton amie!
    
    DaFrog
    
    P.S. Pour ceux qui n'ont rien compris à mon blabla, lisez donc le paragraphe "icmp_echo_ignore_broadcasts" de l'url donnée en référence.
    
    P.P.S. Une attaque smurf consiste en gros à usurper une adresse IP, puis à lancer des pings broadcast dont toutes les réponses vont surcharger la machine dont vous avez usurpé l'adresse...
    - [^] # Re: Bravo!
      
      Posté par Pierre Tramo le 11 octobre 2002 à 14:19. Évalué à 4.
      
      Je vois à peu près le truc dont tu veux parler. Mais appremment, t'as plus d'avantages à désactiver cette option que d'inconvénients si j'ai bien compris. Donc, dans une bonne distrib (héhé, pas de nom, non), elle doit être désactivée par défaut.
      
      Et puis de toute façon, edonkey prend toute la bande passante de ma ligne netissimo, ça en laisse pas beaucoup pour une attaque. :)
    - [^] # Re: Bravo!
      
      Posté par PLuG le 11 octobre 2002 à 14:28. Évalué à 6.
      
      Note que si il veut filtrer les icmp, il peux le faire aussi avec iptables.
      
      comme parametres plus sympa a connaitre il y a: tcp_ecn qui pose des problemes avec certains routeurs cisco (mais qui est par defaut a off maintenant -- ce qui n'etait pas le cas au debut du noyau 2.4)
      
      pour le gigabit (pas dans le doc):
      /proc/sys/net/core/rmem_max et wmem_max
      
      et pour la securite:
      tcp_syncookies
      rp_filter
      
      Bon tout ca est dans la doc de la kernelle, cf
      /usr/src/linux/Documentation/sysctl/...
      /usr/src/linux/Documentation/networking/ip-sysctl.txt
      - [^] # TCP ECN
        
        Posté par Jean-Yves B. le 12 octobre 2002 à 12:26. Évalué à 6.
        
        comme parametres plus sympa a connaitre il y a: tcp_ecn qui pose des problemes avec certains routeurs cisco
        
        Accessoirement, il y a des branleurs qui configurent leur firewall comme des buses et utilisent un masque idiot pour détecter les connexions entrantes genre S/SFRAPUEW[1] au lieu de S/SFRA ou encore qui refusent les paquets TCP dont le champ des flags reservé n'est pas à 0, du coup les connexions d'un hôte qui gère l'ECN sont giclées, parce que les deux flags rajoutés pour l'ECN (ECE et CWR) font partie des flags réservés d'avant l'ECN.
        D'ailleurs, il y a une RFC à ce sujet : ftp://ftp.rfc-editor.org/in-notes/rfc3360.txt(...)
        
        [1] (F)IN, (S)YN, (R)ST, (P)USH, (A)CK, (U)RG, (E)CE, et C(W)R.
        
        [^] # Re: TCP ECN
        
        Posté par Bernez le 12 octobre 2002 à 17:37. Évalué à 8.
        
        Accessoirement, il y a des branleurs qui configurent leur firewall comme des buses et [...]
        C'est pas très gentil pour les admins de l'ENS Lyon de dire des choses comme ça ;)
        J'ai mis un temps fou à comprendre qu'il fallait retirer le tcp_ecn pour pouvoir atteindre l'ENS Lyon. Si d'une manière qui semble inexplicable vous n'arrivez pas à envoyer de mails à des gens de cette école, vous savez ce qui vous reste à faire !
        (en espérant que ce post évitera à d'autres de subir la même galère que moi et que si des admins le lisent ils prennent les mesures adequates)
# Excellent

Posté par Gilles le 11 octobre 2002 à 13:48. Évalué à 9.

Très bon guide, décrit les options à changer pour faire un bon tuning ip de son kernel et enfin savoir à quoi tout cela orrespond sans passer des heures en test !!!!

Excellent !
- [^] # Re: Excellent
  
  Posté par Pierre Jarillon (site web personnel) le 13 octobre 2002 à 12:55. Évalué à 3.
  
  Excellent travail, j'y ai appris beaucoup de choses. Mais je ne pense pas faire de tuning sur ma machine car des gens beaucoup plus compétents que moi sur ce sujet s'en sont soucié, y ont passé beaucoup de temps et que c'est vraiment bien optimisé.
  C'est comme la gestion des priorités des tâches. Il est rare d'avoir besoin d'y retoucher car là encore tous les Unix et Linux sont très optimisés.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.