Деякі опції sysctl
З приводу параметрів security.bsd.see_other_uids = 0 і security.bsd.see_other_gids = 0:
У FreeBSD версії 5 замість цих параметрів був такий:
kern.ps_showallprocs = 0
У шостій версії такого параметра вже немає. На четвертій не перевіряв.
Жовтий колір дуже важко Новомосковскется і напружує очі.
поміняв на зелений.
і він був не жовтий. Помаранчевий.
Агу, помаранчевий) але зміст зрозумілий)
Тепер краще.
> Net.inet.tcp.msl = 15000 - Є така феня, як максимальний час життя сегмента (Maximum Segment Life - MSL) -> максимальний час очікування ASK у відповідь на SYN-ACK або
Дрібниця, замініть ASK на ACK
ще одна корисна Мінлива
sysctl hw.syscons.bell = 0
щоб вимкнути вбудований спікер.
а то писк сильно дратує.
> З приводу параметрів security.bsd.see_other_uids = 0 і security.bsd.see_other_gids = 0:
> У FreeBSD версії 5 замість цих параметрів був такий:
> Kern.ps_showallprocs = 0
> У шостій версії такого параметра вже немає. На четвертій не перевіряв.
на четврке теж такий - kern.ps_showallprocs = 0
net.inet.tcp.sack.enable = 0 - тюнінг мережевої підсистеми - при великому навантаженні на запрси отвечатеся селективно.
В 7.0-RELEASE ось ці змінні вже стоять так, як рекомендовано:
net.inet.tcp.recvspace
net.link.ether.inet.max_age
net.inet.ip.sourceroute
net.inet.ip.accept_sourceroute
net.inet.icmp.bmcastecho
net.inet.icmp.maskrepl
security.bsd.hardlink_check_uid
security.bsd.hardlink_check_gid
vfs.usermount
net.inet.tcp.log_in_vain
net.inet.udp.log_in_vain
Just in case you want to know =)
ARP entry lifetime встановлюйте не більше 200:
net.link.ether.inet.max_age = 200
Інакше, в ті рідкісні випадки, коли ваш провайдер проводить заміну свого маршрутизатора (вашого шлюзу в інтернет), в кеші bsd arp-запис з маком старого шлюзу може висіти 1200 секунд (20 хвилин)
net.inet.tcp.nolocaltimewait Чи не висіти в стані timewait для локальних з'єднань.
net.inet.tcp.blackhole = 2
при встановленому параметрі, вхід по ssh хвилин 15, запуск top хвилин 15, доступ на сервер по smb неможливий і т.д. Ставиш net.inet.tcp.blackhole = 0 все працює.
Oleg, а що не влаштовує? це описано дещо де =)
Афтар знову олень
net.inet.tcp.blackhole = 2
НЕт. не було і не буде
Є тільки net.inet.tcp.blackhole = 1
І взагалі пора мізки включати, і прочитати про TCP.
"При установці в" 2 ", взагалі все (а не тільки SYN) пакети на закритий порт відкидаються без будь-яких дій." - Вони і так відкидати, Самі СОБОЮ. 111111
мучать думки про net.link.ether.inet.max_age = 1200.
Свічі по дефолту запам'ятовують ARP entry до 300 секунд.
Після закінчення цього часу свіч не знатиме де знаходиться хост і буде слати трафік на цей хост в усі порти.
А цей трафік фря слати буде 100%. тому у неї час зберігання ARP 1200 секунд (Стосовно до реальних IP, сірі можуть закінчуватися раніше в залежності від налаштувань NAT).
Таким чином отримуємо шторм з вхідного трафіку в усі порти починаючи з кореневого свіча.
Зменшення цього параметра на фр також під питанням, тому що часто зустрічається хост, з яким ведеться періодичний обмін, але при цьому arp показує менше 900сек залишок часу зберігання arp.
ARP чи не цього хоста
інших
--
все нормально буде =)