Обзор сетевых опций
Некоторые сетевые опции непосредственным образом влияют на степень защищенности сети
от возможных атак. Каждая такая опция отключает (0) или включает
(1) определенный режим обработки сетевых пакетов. В следующем разделе перечислены опции, которые можно использовать с командой no.
| Параметр | Команда | Назначение |
|---|---|---|
| bcastping | /usr/sbin/no -o bcastping=0 | Разрешает отвечать на эхозапросы ICMP, передаваемые в широковещательном режиме. Отключив этот режим, можно защититься от возможных атак типа Smurf (атака, направленная на отказ в обслуживании путем отправки большого количества широковещательных запросов на конкретный IP-адрес). |
| clean_partial_conns | /usr/sbin/no -o clean_partial_conns=1 | Указывает, включена ли защита от возможных атак типа SYN (атаки, направленные на отказ в обслуживании путем отправки большого числа пакетов SYN и вынуждение браузера выделять память для установки потенциальных сеансов связи с клиентами). |
| directed_broadcast | /usr/sbin/no -o directed_broadcast=0 | Указывает, разрешена ли прямая отправка широковещательных пакетов через шлюз. Если этому значению будет присвоено значение 0, такие пакеты не будут передаваться в удаленную сеть. |
| icmpaddressmask | /usr/sbin/no -o icmpaddressmask=0 | Указывает, будет ли система отвечать на запросы маски подсети по протоколу ICMP. Отключив этот режим, можно защититься от возможных атак, использующих знание о конкретных маршрутах в вашей сети. |
| ipforwarding | /usr/sbin/no -o ipforwarding=0 | Указывает, будет ли ядро выполнять пересылку пакетов. Отключив этот режим, можно запретить перенаправление пакетов в другие сети. |
| ipignoreredirects | /usr/sbin/no -o ipignoreredirects=1 | Указывает способ обработки запросов на перенаправление пакетов. |
| ipsendredirects | /usr/sbin/no -o ipsendredirects=0 | Указывает, будет ли ядро передавать сигналы о перенаправлении пакетов. Отключив этот режим, можно запретить перенаправление пакетов в другие сети. |
| ip6srcrouteforward | /usr/sbin/no -o ip6srcrouteforward=0 | Указывает, будет ли система пересылать пакеты IPv6, отправляемые по сложным маршрутам ICMP. Отключив этот режим, можно защититься от возможных атак, использующих знание о конкретных маршрутах в вашей сети. |
| ipsrcrouteforward | /usr/sbin/no -o ipsrcrouteforward=0 | Указывает, будет ли система пересылать пакеты, отправляемые по сложным маршрутам ICMP. Отключив этот режим, можно защититься от возможных атак, использующих знание о конкретных маршрутах в вашей сети. |
| ipsrcrouterecv | /usr/sbin/no -o ipsrcrouterecv=0 | Указывает, будет ли система принимать пакеты, отправляемые по сложным маршрутам. Отключив этот режим, можно защититься от возможных атак, использующих знание о конкретных маршрутах в вашей сети. |
| ipsrcroutesend | /usr/sbin/no -o ipsrcroutesend=0 | Указывает, разрешено ли приложениям отправлять пакеты по сложным маршрутам ICMP. Отключив этот режим, можно защититься от возможных атак, использующих знание о конкретных маршрутах в вашей сети. |
| nonlocsroute | /usr/sbin/no -o nonlocsrcroute=0 | Указывает, разрешена ли отправка пакетов IP по сложным маршрутам за пределы локальной сети. Отключив этот режим, можно защититься от возможных атак, использующих знание о конкретных маршрутах в вашей сети. |
| tcp_icmpsecure | /usr/sbin/no -o tcp_icmpsecurer=1 | Защищает соединения TCP от атак по ICMP (протокол управления Internet-сообщениями) с подавлением источника и атак PMTUD (вычисление MTU маршрута). Проверяет полезную нагрузку ICMP-сообщения, определяя, находится ли порядковый номер заголовка TCP в диапазоне допустимых порядковых номеров. Допустимые значения: 0=off (значение по умолчанию); 1=on. |
| ip_nfrag | /usr/sbin/no -o ip_nfrag=200 | Указывает максимальное количество фрагментов пакета IP, которые могут храниться в очереди сборки IP одновременно (значение по умолчанию равно 200 - в очереди сборки IP одновременно могут находиться до 200 фрагментов IP-пакета). |
| tcp_pmtu_discover | /usr/sbin/no -o tcp_pmtu_discover=0 | Отключив этот режим, можно защититься от возможных атак, использующих знание о конкретных маршрутах в вашей сети. |
| tcp_tcpsecure | /usr/sbin/no -o tcp_tcpsecure=7 | Защищает уязвимые места соединения TCP. Допустимые значения: 0=нет защиты; 1=отправка установленному соединению фиктивного SYN; 2=отправка установленному соединению фиктивного RST; 3=ввод данных в установленное соединение TCP; 5–7=комбинация вышеперечисленных уязвимых мест. |
| udp_pmtu_discover | /usr/sbin/no -o udp_pmtu_discover=0 | Включает или выключает режим определения MTU для приложений протокола TCP. Отключив этот режим, можно защититься от возможных атак, использующих знание о конкретных маршрутах в вашей сети. |
Дополнительная информация о настраиваемых сетевых опциях приведена в разделе Руководство по настройке производительности.