Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian Meilleurs params pour un routeur

Meilleurs params pour un routeur

2 réponses
Avatar
Franck
Salut la liste,

je vais mettre en place un routeur/firewall basé sur Debian sur machine
soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps)

Ce que ce routeur va fait :
1/ one-to-one NAT sur une class C (translation IP publiques / IP privées)
2/ firewall avec shorewall
3/ les règles sont assez basiques :
- ouverture de tout pour 2-3 IP fixes
- ouverture des ports 53/80/443/25/110 pour internet
- ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql,
postgres)
4/ ce firewall peut router/commuter énormement de paquets car les serveurs
qui sont derrière sont à forts trafics

J'ai déjà mis deci dans mon /etc/sysctl.conf :

# Set the ip_conntrack limit
net.ipv4.netfilter.ip_conntrack_max=65500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=172800

#
# Set the arp limit
# pour eviter Neighbour table overflow
net.ipv4.neigh.default.gc_thresh1=512
net.ipv4.neigh.default.gc_thresh2=2048
net.ipv4.neigh.default.gc_thresh3=4096

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max=16000
net.ipv4.ip_conntrack_max=65500
#net.ipv4.ip_conntrack_max=100000

# Ignorer les mauvais messages d'erreurs ICMP
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignorer les messages de diffusion ICMP
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Journaliser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.log_martians = 1

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1

# Refuser les messages ICMP redirect
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

# Refuser le routage source
net.ipv4.conf.all.accept_source_route = 0

# Se proteger des attaques de type Syn Flood
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_ecn = 1

Ces valeurs vous paraissent-elles corectes ?
Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ?

Tout retour d'expérience/conseils sont les bienvenus ...

Merci

Franck
--
http://www.linuxpourtous.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Signaler un problème avec ce contenu

2 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Pascal Hambourg
Franck a écrit :

J'ai déjà mis ceci dans mon /etc/sysctl.conf :


[...]
Ces valeurs vous paraissent-elles corectes ?



Pas d'avis particuliers sur les valeurs, mais quelques remarques.

net.ipv4.netfilter.ip_conntrack_maxe500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established2800



Ça n'empêchera pas les connexions de plus de deux jours mais fera
seulement oublier celles qui sont inactives depuis plus de deux jours.

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max000



Quel rapport avec la fonction de la machine ?

net.ipv4.ip_conntrack_maxe500



C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
de le mettre une deuxième fois.

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1



J'attire ton attention sur le fait que ce type de paramètre existe aussi
séparément pour chaque interface, et que le résultat pour une interface
donnée est la combinaison des deux. Pour certains comme rp_filter c'est
un ET logique, pour d'autres c'est un OU logique. Par exemple pour
activer la vérification d'adresse source sur toutes les interfaces, il
faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
configuration IP des interfaces (la valeur dans conf.default.<parametre>
est recopiée dans conf.<interface>.<parametre> lors de la création de ce
dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
1 après la configuration IP.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Franck
hello,



Franck a écrit :

J'ai déjà mis ceci dans mon /etc/sysctl.conf :


[...]
Ces valeurs vous paraissent-elles corectes ?



Pas d'avis particuliers sur les valeurs, mais quelques remarques.

net.ipv4.netfilter.ip_conntrack_maxe500

# Ne pas permettre les connexions TCP de plus de 2 jours
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established2800



Ça n'empêchera pas les connexions de plus de deux jours mais fera
seulement oublier celles qui sont inactives depuis plus de deux jours.

# pour eviter des problèmes avec les serveurs très chargés
fs.file-max000



Quel rapport avec la fonction de la machine ?

net.ipv4.ip_conntrack_maxe500



C'est le même paramètre que net.ipv4.netfilter.ip_conntrack_max, inutile
de le mettre une deuxième fois.

# Refuser les adresses sources falsifiées ou non routables
net.ipv4.conf.all.rp_filter = 1



J'attire ton attention sur le fait que ce type de paramètre existe aussi
séparément pour chaque interface, et que le résultat pour une interface
donnée est la combinaison des deux. Pour certains comme rp_filter c'est
un ET logique, pour d'autres c'est un OU logique. Par exemple pour
activer la vérification d'adresse source sur toutes les interfaces, il
faut donc en plus mettre net.ipv4.conf.default.rp_filter à 1 *avant* la
configuration IP des interfaces (la valeur dans conf.default.<parametre>
est recopiée dans conf.<interface>.<parametre> lors de la création de ce
dernier), ou bien mettre tous les net.ipv4.conf.<interface>.rp_filter à
1 après la configuration IP.



Merci pour toutes ces remarques, je vais les mettre en application :)

Franck
--
http://www.linuxpourtous.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact