Meilleurs params pour un routeur

Le
Franck
Salut la liste,

je vais mettre en place un routeur/firewall basé sur Debian sur machine
soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps)

Ce que ce routeur va fait :
1/ one-to-one NAT sur une class C (translation IP publiques / IP privées)
2/ firewall avec shorewall
3/ les règles sont assez basiques :
- ouverture de tout pour 2-3 IP fixes
- ouverture des ports 53/80/443/25/110 pour internet
- ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql,
postgres)
4/ ce firewall peut router/commuter énormement de paquets car les serveurs
qui sont derrière sont à forts trafics

J'ai déjà mis deci dans mon /etc/sysctl.conf :

# Set the ip_conntrack limit
net.ipv4.netfilter.ip_conntrack_maxe500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established2800

#
# Set the arp limit
# pour eviter Neighbour table overflow
net.ipv4.neigh.default.gc_thresh1Q2
net.ipv4.neigh.default.gc_thresh2 48
net.ipv4.neigh.default.gc_thresh3@96

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max000
net.ipv4.ip_conntrack_maxe500
#net.ipv4.ip_conntrack_max0000

# Ignorer les mauvais messages d'erreurs ICMP
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignorer les messages de diffusion ICMP
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Journaliser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.log_martians = 1

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1

# Refuser les messages ICMP redirect
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

# Refuser le routage source
net.ipv4.conf.all.accept_source_route = 0

# Se proteger des attaques de type Syn Flood
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_ecn = 1

Ces valeurs vous paraissent-elles corectes ?
Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ?

Tout retour d'expérience/conseils sont les bienvenus

Merci

Franck
--
http://www.linuxpourtous.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #9538001
Franck a écrit :

J'ai déjà mis ceci dans mon /etc/sysctl.conf :


[...]
Ces valeurs vous paraissent-elles corectes ?



Pas d'avis particuliers sur les valeurs, mais quelques remarques.

net.ipv4.netfilter.ip_conntrack_maxe500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established2800



Ça n'empêchera pas les connexions de plus de deux jours mais fera
seulement oublier celles qui sont inactives depuis plus de deux jours.

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max000



Quel rapport avec la fonction de la machine ?

net.ipv4.ip_conntrack_maxe500



C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
de le mettre une deuxième fois.

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1



J'attire ton attention sur le fait que ce type de paramètre existe aussi
séparément pour chaque interface, et que le résultat pour une interface
donnée est la combinaison des deux. Pour certains comme rp_filter c'est
un ET logique, pour d'autres c'est un OU logique. Par exemple pour
activer la vérification d'adresse source sur toutes les interfaces, il
faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
configuration IP des interfaces (la valeur dans conf.default.<parametre>
est recopiée dans conf. dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
1 après la configuration IP.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck
Le #9537681
hello,



Franck a écrit :

J'ai déjà mis ceci dans mon /etc/sysctl.conf :


[...]
Ces valeurs vous paraissent-elles corectes ?



Pas d'avis particuliers sur les valeurs, mais quelques remarques.

net.ipv4.netfilter.ip_conntrack_maxe500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established2800



Ça n'empêchera pas les connexions de plus de deux jours mais fera
seulement oublier celles qui sont inactives depuis plus de deux jours.

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max000



Quel rapport avec la fonction de la machine ?

net.ipv4.ip_conntrack_maxe500



C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
de le mettre une deuxième fois.

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1



J'attire ton attention sur le fait que ce type de paramètre existe aussi
séparément pour chaque interface, et que le résultat pour une interface
donnée est la combinaison des deux. Pour certains comme rp_filter c'est
un ET logique, pour d'autres c'est un OU logique. Par exemple pour
activer la vérification d'adresse source sur toutes les interfaces, il
faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
configuration IP des interfaces (la valeur dans conf.default.<parametre>
est recopiée dans conf. dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
1 après la configuration IP.



Merci pour toutes ces remarques, je vais les mettre en application :)

Franck
--
http://www.linuxpourtous.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme