linux系统优化的相关参数

1、linux系统优化的相关参数#修改路由转发的功能sysctl -w net.ipv4.ip_forward=1#是一种用于通过选择加密的初始化TCP序列号，可以对回应的包做验证来降低SYN洪水攻击的影响的技术sysctl -w net.ipv4.tcp_syncookies=1#syn队列sysctl -w net.ipv4.tcp_max_syn_backlog=81920#syn-ack握手状态重试次数，默认5，遭受syn-flood攻击时改为1或2sysctl -w net.ipv4.tcp_synack_retries=2#外向syn握手重试次数，默认4 sysctl -w net.i

2、pv4.tcp_syn_retries=2 #忽略icmp ping广播包sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1#增大iptables状态跟踪表echo /proc/sys/net/ipv4/ip_conntrack_maxsysctl -w filter.ip_conntrack_tcp_timeout_syn_recv=3#默认60，tcp fin状态超时时间sysctl -w net.ipv4.tcp_fin_timeout=30#默认7200，tcp keeplive时间sysctl -w net.ipv4.tcp_keepal

3、ive_time=300#设置tcp/ip会话的滑动窗口大小是否可变sysctl -w net.ipv4.tcp_window_scaling=1#该文件表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接sysctl -w net.ipv4.tcp_tw_reuse=1sysctl -w net.ipv4.tcp_tw_recycle=1#该文件表示TCPUDP协议打开的本地端口号范围echo 10000 65000 /proc/sys/net/ipv4/ip_local_port_range#该文件指定了可以分配的文件句柄的最大数目echo 32768 /proc

4、/sys/fs/file-max#增加文件描述符ulimit -HSn 65535在服务器安装了LNMP(Linux+Nginx+Mysql+php)环境之后Linux服务器参数必须做必要的优化，包括网络参数优化、文件数优化、内存优化等等。1、网络参数优化：这部分主要参照张宴大师 Nginx 0.8.x + PHP 5.2.13（FastCGI）搭建胜过Apache十倍的Web服务器（第6版）原创其中 五、优化Linux内核参数的内容：01vi /etc/sysctl.conf #编辑sysctl.conf文件 02#在/etc/sysctl.conf中添加如下内容 03# 网络参数优化开始

5、04net.ipv4.tcp_max_syn_backlog = 65536 dev_max_backlog =? 32768 06net.core.somaxconn = 32768 07?08net.core.wmem_default = 09net.core.rmem_default = 10net.core.rmem_max = 11net.core.wmem_max = 12?13net.ipv4.tcp_timestamps = 0 14net.ipv4.tcp_synack_retries = 2 15net.ipv4.tcp_syn_retries = 2 16?17net.i

6、pv4.tcp_tw_recycle = 1 18#net.ipv4.tcp_tw_len = 1 19net.ipv4.tcp_tw_reuse = 1 20?21net.ipv4.tcp_mem = 22net.ipv4.tcp_max_orphans = 23?24#net.ipv4.tcp_fin_timeout = 30 25#net.ipv4.tcp_keepalive_time = 120 26net.ipv4.ip_local_port_range = 1024? 65535 27#网络参数优化结束 28#添加内容结束修改完成后运行以下命令使参数生效：1/sbin/sysctl

7、 -p2、系统最大打开文件数优化默认情况下，系统允许最大打开文件数为1024个，这对于访问量较大的web服务器来说远远不够用。系统最大打开文件数可以通过ulimit来修改和查询。一般情况下，可以通过ulimit -n来查看目前系统允许的最大打开文件数，例如 ：1ulimit -n 21024 #系统返回如果我们要修改系统允许最大文件打开数，可以通过ulimit -SHn来做，例如要临时修改系统最大打开文件数为51201个，那么用如下命令：1ulimit -SHn 51201每次重启系统时，该值会被自动还原，可以将上述命令写入 /etc/rc.local 中。如果想永久更改，可以按照如下修改：1

8、vi /etc/security/limits.conf 2# add 3*? soft? nofile? 51201 4*? hard? nofile? 51201系统最大打开文件数影响到的配置文件(以下必须设置为系统设置相一致，例如设置系统最大打开文件数为：51201)：?01A、 Nginx配置文件nginx.conf的配置项：worker_rlimit_nofile、worker_connections、 open_file_cache等，例如设置为： 02?worker_rlimit_nofile 51201; 03?events 04? 05?useepoll; 06?worker

9、_connections 51201; 07? 08?http 09? 10?#其它参数略过 11?open_file_cache max=51201 inactive=20s; 12?open_file_cache_min_uses 1; 13?open_file_cache_valid 30s; 14?#其它参数略过 15? 16B、FastCGI配置文件php-fpm.conf的配置项 17?512013、系统共享内存优化：系统共享内存大小主要影响到eaccelerator的设置：?1eaccelerator.shm_size=32该项为eaccelerator可使用的共享内存大小(单位

10、为MB)设置。在Linux下，单个进程的最大共享内存使用量受/proc/sys/kernel/shmmax中设置的数字限制(单位为字节)，例如Redhat 4.7的shmmax默认值为字节(bytes/1024/1024=32MB)。临时更改该值(例如修改为128MB=128x1024x1024=字节)：?1echo /proc/sys/kernel/shmmax 2echo /proc/sys/kernel/shmall按照以上方法更改，在每次重启系统时，该值会被自动还原。如果想永久更改，可以修改/etc/sysctl.conf文件，设置：1#系统共享内存大小优化 2kernel.shmma

11、x = 完整的/etc/sysctl.conf修改添加内容如下：01#在/etc/sysctl.conf中添加如下内容 02# 网络参数优化开始 03net.ipv4.tcp_max_syn_backlog = 65536 dev_max_backlog =? 32768 05net.core.somaxconn = 32768 06?07net.core.wmem_default = 08net.core.rmem_default = 09net.core.rmem_max = 10net.core.wmem_max = 11?12net.ipv4.tcp_timestamps = 0 13

12、net.ipv4.tcp_synack_retries = 2 14net.ipv4.tcp_syn_retries = 2 15?16net.ipv4.tcp_tw_recycle = 1 17#net.ipv4.tcp_tw_len = 1 18net.ipv4.tcp_tw_reuse = 1 19?20net.ipv4.tcp_mem = 21net.ipv4.tcp_max_orphans = 22?23#net.ipv4.tcp_fin_timeout = 30 24#net.ipv4.tcp_keepalive_time = 120 25net.ipv4.ip_local_por

13、t_range = 1024? 65535 26#网络参数优化结束 27#系统共享内存大小优化开始 28kernel.shmmax = 29#系统共享内存大小优化结束 30#添加内容结束修改完成后运行以下命令使参数生效：/sbin/sysctl p详细介绍Linux网络部分优化策略方法Ioports I/O端口的使用Kcore 内核核心印象Kmsg 内核消息Ksyms 内核符号表Loadavg 负载均衡Locks 内核锁Meminfo 内存信息Misc 杂项Modules 加载模块列表Mounts 加载的文件系统Partitions 系统识别的分区表Rtc 实时时钟Slabinfo Slab池

14、信息Stat 全面统计状态表Swaps 对换空间的利用情况Version 内核版本Uptime 系统正常运行时间 并不是所有这些目录在你的系统中都有，这取决于你的内核配置和装载的模块。另外，在/proc下还有三个很重要的目录：net，scsi和sys。 Sys目录是可写的，可以通过它来访问或修改内核的参数（见下一部分），而net和scsi则依赖于内核配置。例如，如果系统不支持scsi，则scsi 目录不存在。除了以上介绍的这些，还有的是一些以数字命名的目录，它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在 /proc下，以进程的PID号为目录名，它们是读取进程信息的接口。而sel

15、f目录则是读取进程本身的信息接口，是一个link。Proc文件系统的名 字就是由之而起。进程目录的结构如下：目录名称 目录内容Cmdline 命令行参数Environ 环境变量值Fd 一个包含所有文件描述符的目录Mem 进程的内存被利用情况Stat 进程状态Status 进程当前状态，以可读的方式显示出来Cwd 当前工作目录的链接Exe 指向该进程的执行命令文件Maps 内存映象Statm 进程内存状态信息Root 链接此进程的root目录用户如果要查看系统信息，可以用cat命令。例如：# cat /proc/interruptsCPU00: XT-PIC timer1: 895 XT-PIC

16、 keyboard2: 0 XT-PIC cascade3: XT-PIC aha152x4: XT-PIC serial5: 44401 XT-PIC pcnet_cs8: 2 XT-PIC rtc11: 8 XT-PIC i8236512: XT-PIC Mouse13: 1 XT-PIC fpu PS/214: XT-PIC ide015: 7 XT-PIC ide1NMI: 0用户还可以实现修改内核参数。在/proc文件系统中有一个有趣的目录：/proc/sys。它不仅提 供了内核信息，而且可以通过它修改内核参数，来优化你的系统。但是你必须很小心，因为可能会造成系统崩溃。最好是先找一台

17、无关紧要的机子，调试成功后再应 用到你的系统上。要改变内核的参数，只要用vi编辑或echo参数重定向到文件中即可。下面有一个例子：# cat /proc/sys/fs/file-max4096# echo 8192 ; /proc/sys/fs/file-max# cat /proc/sys/fs/file-max8192如果你优化了参数，则可以把它们写成添加到文件rc.local中，使它在系统启动时自动完成修改。/proc文件系统中网络参数在/proc/sys/net/ipv4/目录下，包含的是和tcp/ip协议相关的各种参数，下面我们就对这些网络参数加以详细的说明。ip_forward 参

18、数类型：BOOLEAN0 - 关闭(默认值)not 0 - 打开ip转发在网络本地接口之间转发数据报。该参数非常特殊，对该参数的修改将导致其它所有相关配置参数恢复其默认值(对于主机参阅RFC1122，对于路由器参见RFC1812)ip_default_ttl 参数类型：INTEGER默认值为 64 。表示IP数据报的Time To Live值。ip_no_pmtu_disc 参数类型：BOOLEAN关闭路径MTU探测，默认值为FALSEipfrag_high_thresh 参数类型：整型用来组装分段的IP包的最大内存量。当ipfrag_high_thresh数量的内存被分配来用来组装IP包，则

19、IP分片处理器将丢弃数据报直到ipfrag_low_thresh数量的内存被用来组装IP包。ipfrag_low_thresh 参数类型：整型参见ipfrag_high_thresh。ipfrag_time 参数类型：整型保存一个IP分片在内存中的时间。inet_peer_threshold 参数类型：整型INET对端存储器某个合适值，当超过该阀值条目将被丢弃。该阀值同样决定生存时间以及废物收集通过的时间间隔。条目越多存活期越低GC 间隔越短inet_peer_minttl 参数类型：整型条目的最低存活期。在重组端必须要有足够的碎片(fragment)存活期。这个最低存活期必须保证缓冲池容积是

20、否少于 inet_peer_threshold。该值以 jiffies为单位测量。详细介绍Linux网络部分优化策略方法2007-8-10 作者： 编辑：眼镜丢了 点击进入论坛关于 SYN_RECV 的杂七杂八的东西 Posted by kreny at September 8, 2004 10:38 PM | Trackback URL: 网页在翻页到一个特定的页面的时候，和服务器80端口的连接被中止。 查看了netstat -anlp 发现有类似以下的记录，而IP就是我的。 tcp 0 2560 8:80 41:1523 SYN_RECV -

21、由于可能是程序的问题，因为仅仅在浏览这张网页的时候会出现这个问题，但是还是在netstat里面偶尔会看到几个 SYN_RECV ,所以就google了一下，在此总结一下。 1.对于大量的 SYN_RECV 若怀疑是SYN Flood攻击，有以下建议: 这个攻击的解决方法如下： 1，增加未完成连接队列（q0)的最大长度。 echo 1280;/proc/sys/net/ipv4/tcp_max_syn_backlog 2, 启动SYN_cookie。 echo 1;/proc/sys/net/ipv4/tcp_syncookies 这些是被动的方法，治标不治本。而且加大了服务器的负担，但是可以避

22、免被拒绝攻击（只是减缓） 治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入/etc/rc.d/rc.local文件中,如果对 /proc/sys/net/ipv4 下的配置文件进行解释，可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。 关于 syn cookies， 请参阅 ; http:/cr.yp.to/syncookies.html,也许使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。最终，仅仅修改了这个参数，但是也加上了iptables的防火墙规则，问题解决。 2.什麼

23、是 TCP SYN Flood 攻擊 TCP SYN Flood是一種常見，而且有效的遠端(遠程)拒絕服務(Denial of Service)攻擊方式，它透過一定的操作破壞TCP三次握手建立正常連接，佔用並耗費系統資源，使得提供TCP服務的主機系統無法正常工作。 由於TCP SYN Flood是透過網路底層對服務器Server進行攻擊的，它可以在任意改變自己的網路IP地址的同時，不被網路上的其他設備所識別，這樣就給防範網路犯 罪部門追查犯罪來源造成很大的困難。 在國內內外的網站中，這種攻擊屢見不鮮。在一個拍賣網站上，曾經有犯罪分子利用這種手段，在低價位時阻止其他用戶繼續對商品拍賣，干擾拍賣過

24、程的正常運 作。 系統檢查 一般情況下，可以一些簡單步驟進行檢查，來判斷系統是否正在遭受TCP SYN Flood攻擊。 1、 服務端無法提供正常的TCP服務。連接請求被拒絕或超時。 2、透過 netstat -an 命令檢查系統，發現有大量的SYN_RECV連接狀態。 3. iptables的设置，引用自CU 防止同步包洪水（Sync Flood） # iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -j ACCEPT 也有人写作 #iptables -A INPUT -p tcp -syn -m limit -limit 1/s -j

25、 ACCEPT -limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改 防止各种端口扫描 # iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPT Ping洪水攻击（Ping of Death） # iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPT 附： Iptables 指南 1.1.19 防火墙例子： 在Linux上使用iptables命令，

26、建立一个个人防火墙 参阅： proc文件系统面面谈 02-01-16 21:34 5467p ideal - 什么是proc文件系统 proc文件系统是一个伪文件系统，它只存在内存当中，而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可 以通过proc得到系统的信息，并可以改变内核的某些参数。由于系统的信息，如进程，是动态改变的，所以用户或应用程序读取proc文件时，proc文件 系统是动态从系统内核读出所需信息并提交的。它的目录结构如下： 目录名称 目录内容 apm 高级电源管理信息 cmdline 内核命令行 Cpuinfo 关于Cpu信息 Device

27、s 可以用到的设备（块设备/字符设备） Dma 使用的DMA通道 Filesystems 支持的文件系统 Interrupts 中断的使用 Ioports I/O端口的使用 Kcore 内核核心印象 Kmsg 内核消息 Ksyms 内核符号表 Loadavg 负载均衡 Locks 内核锁 Meminfo 内存信息 Misc 杂项 Modules 加载模块列表 Mounts 加载的文件系统 Partitions 系统识别的分区表 Rtc 实时时钟 Slabinfo Slab池信息 Stat 全面统计状态表 Swaps 对换空间的利用情况 Version 内核版本 Uptime 系统正常运行时间

28、并不是所有这些目录在你的系统中都有，这取决于你的内核配置和装载的模块。另外，在/proc下还有三个很重要的目录：net，scsi和sys。 Sys目录是可写的，可以通过它来访问或修改内核的参数（见下一部分），而net和scsi则依赖于内核配置。例如，如果系统不支持scsi，则scsi 目录不存在。 除了以上介绍的这些，还有的是一些以数字命名的目录，它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下，以进程的 PID号为目录名，它们是读取进程信息的接口。而self目录则是读取进程本身的信息接口，是一个link。Proc文件系统的名字就是由之而起。进程目 录的结构如下： 目

29、录名称 目录内容 Cmdline 命令行参数 Environ 环境变量值 Fd 一个包含所有文件描述符的目录 Mem 进程的内存被利用情况 Stat 进程状态 Status 进程当前状态，以可读的方式显示出来 Cwd 当前工作目录的链接 Exe 指向该进程的执行命令文件 Maps 内存映象 Statm 进程内存状态信息 Root 链接此进程的root目录 用户如果要查看系统信息，可以用cat命令。例如： # cat /proc/interrupts CPU0 0: XT-PIC timer 1: 895 XT-PIC keyboard 2: 0 XT-PIC cascade 3: XT-PIC

30、 aha152x 4: XT-PIC serial 5: 44401 XT-PIC pcnet_cs 8: 2 XT-PIC rtc 11: 8 XT-PIC i82365 12: XT-PIC Mouse 13: 1 XT-PIC fpu PS/2 14: XT-PIC ide0 15: 7 XT-PIC ide1 NMI: 0用 户还可以实现修改内核参数。在/proc文件系统中有一个有趣的目录：/proc/sys。它不仅提供了内核信息，而且可以通过它修改内核参数，来优化你 的系统。但是你必须很小心，因为可能会造成系统崩溃。最好是先找一台无关紧要的机子，调试成功后再应用到你的系统上。 要改变

31、内核的参数，只要用vi编辑或echo参数重定向到文件中即可。下面有一个例子： # cat /proc/sys/fs/file-max 4096 # echo 8192 ; /proc/sys/fs/file-max # cat /proc/sys/fs/file-max 8192如果你优化了参数，则可以把它们写成添加到文件rc.local中，使它在系统启动时自动完成修改。 /proc文件系统中网络参数 在/proc/sys/net/ipv4/目录下，包含的是和tcp/ip协议相关的各种参数，下面我们就对这些网络参数加以详细的说明。 ip_forward 参数类型：BOOLEAN 0 - 关闭(

32、默认值) not 0 - 打开ip转发 在网络本地接口之间转发数据报。该参数非常特殊，对该参数的修改将导致其它所有相关配置参数恢复其默认值(对于主机参阅RFC1122，对于路由器参见RFC1812) ip_default_ttl 参数类型：INTEGER 默认值为 64 。表示IP数据报的Time To Live值。 ip_no_pmtu_disc 参数类型：BOOLEAN 关闭路径MTU探测，默认值为FALSE ipfrag_high_thresh 参数类型：整型 用来组装分段的IP包的最大内存量。当ipfrag_high_thresh数量的内存被分配来用来组装IP包，则IP分片处理器将丢弃

33、数据报直到ipfrag_low_thresh数量的内存被用来组装IP包。 ipfrag_low_thresh 参数类型：整型 参见ipfrag_high_thresh。 ipfrag_time 参数类型：整型 保存一个IP分片在内存中的时间。 inet_peer_threshold 参数类型：整型 INET对端存储器某个合适值，当超过该阀值条目将被丢弃。该阀值同样决定生存时间以及废物收集通过的时间间隔。条目越多存活期越低GC 间隔越短 inet_peer_minttl 参数类型：整型 条目的最低存活期。在重组端必须要有足够的碎片(fragment)存活期。这个最低存活期必须保证缓冲池容积是否少

34、于 inet_peer_threshold。该值以 jiffies为单位测量。 inet_peer_maxttl 参数类型：整型 条目的最大存活期。在此期限到达之后如果缓冲池没有耗尽压力的话(例如缓冲池中的条目数目非常少)不使用的条目将会超时。该值以 jiffies为单位测量。 inet_peer_gc_mintime 参数类型：整型 废物收集(GC)通过的最短间隔。这个间隔会影响到缓冲池中内存的高压力。 该值以 jiffies为单位测量。 inet_peer_gc_maxtime 参数类型：整型 废物收集(GC)通过的最大间隔，这个间隔会影响到缓冲池中内存的低压力。 该值以 jiffies为

35、单位测量。 tcp_syn_retries 参数类型：整型 对于一个新建连接，内核要发送多少个 SYN 连接请求才决定放弃。不应该大于255，默认值是5，对应于180秒左右。 tcp_synack_retries 参数类型：整型 对于远端的连接请求SYN，内核会发送SYN ACK数据报，以确认收到上一个 SYN连接请求包。这是所谓的三次握手( threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的 SYN+ACK 数目。 tcp_keepalive_time 参数类型：整型 当keepalive打开的情况下，TCP发送keepalive消息的频率，默认值是2

36、个小时。 tcp_keepalive_probes 参数类型：整型 TCP发送keepalive探测以确定该连接已经断开的次数，默认值是9。 tcp_keepalive_interval 参数类型：整型 探测消息发送的频率，乘以tcp_keepalive_probes就得到对于从开始探测以来没有响应的连接杀除的时间。默认值为75秒，也就是没有活动的连接将在大约11分钟以后将被丢弃。 tcp_retries1 参数类型：整型 当出现可疑情况而必须向网络层报告这个可疑状况之前需要进行多少次重试。最低的 RFC 数值是 3 这也是默认值根据RTO的值大约在3秒 - 8分钟之间。 tcp_retrie

37、s2 参数类型：整型 在丢弃激活的TCP连接之前需要进行多少次重试。RFC1122规定，该值必须大于100秒。默认值为15，根据RTO的值来决定，相当于13-30分钟， tcp_orphan_retries 参数类型：整型 在近端丢弃TCP连接之前要进行多少次重试。默认值是 7 个相当于 50秒 - 16分钟视 RTO 而定。如果您的系统是负载很大的web服务器那么也许需要降低该值这类 sockets 可能会耗费大量的资源。另外参的考 tcp_max_orphans 。 tcp_fin_timeout 参数类型：整型 对于本端断开的socket连接，TCP保持在FIN-WAIT-2状态的时间。

38、对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值 为 60 秒。过去在2.2版本的内核中是 180 秒。您可以设置该值但需要注意如果您的机器为负载很重的web服务器您可能要冒内存被大量无效数据报填满的风险FIN-WAIT-2 sockets 的危险性低于 FIN-WAIT-1 因为它们最多只吃 1.5K 的内存但是它们存在时间更长。另外参考 tcp_max_orphans。 tcp_max_tw_buckets 参数类型：整型 系统在同时所处理的最大timewait sockets 数目。如果超过此数的话time-wait socket 会被立即砍除并且显示警告信息。之所以要设定

39、这个限制纯粹为了抵御那些简单的 DoS 攻击千万不要人为的降低这个限制不过如果网络条件需要比默认值更多则可以提高它(或许还要增加内存)。 tcp_tw_recycle 参数类型：布尔 打开快速 TIME-WAIT sockets 回收。默认值是1。除非得到技术专家的建议或要求请不要随意修改这个值。 tcp_max_orphans 参数类型：整型 系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量那么不属于任何进程的连接会被立即reset，并同时显示警告信息。之所以要设定这个限制纯粹为了抵御那些简单的 DoS 攻击千万不要依赖这个或是人为的降低这个限制 tcp_abor

40、t_on_overflow 参数类型：布尔 当守护进程太忙而不能接受新的连接，就象对方发送reset消息，默认值是false。这意味着当溢出的原因是因为一个偶然的猝发，那么连接将恢复状态。只有在你确信守护进程真的不能完成连接请求时才打开该选项，该选项会影响客户的使用。 tcp_syncookies 参数类型：整型 只有在内核编译时选择了CONFIG_SYNCOOKIES时才会发生作用。当出现syn等候队列出现溢出时象对方发送syncookies。目的是为了防止syn flood攻击。默认值是false。 注意：该选项千万不能用于那些没有收到攻击的高负载服务器，如果在日志中出现synflood消

41、息，但是调查发现没有收到synflood攻击，而 是合法用户的连接负载过高的原因，你应该调整其它参数来提高服务器性能。参考: tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow. syncookie严重的违背TCP协议，不允许使用TCP扩展，可能对某些服务导致严重的性能影响(如SMTP转发)。 tcp_stdurg 参数类型：整型 使用 TCP urg pointer 字段中的主机请求解释功能。大部份的主机都使用老旧的 BSD解释，因此如果您在 Linux 打开它或会导致不能和它们正确沟通。默认值为为FALSE tcp_

42、max_syn_backlog 参数类型：整型 对于那些依然还未获得客户端确认的连接请求需要保存在队列中最大数目。对于超过 128Mb 内存的系统默认值是 1024 低于 128Mb 的则为 128。如果服务器经常出现过载可以尝试增加这个数字。警告假如您将此值设为大于 1024最好修改 include/net/tcp.h 里面的 TCP_SYNQ_HSIZE 以保持 TCP_SYNQ_HSIZE*16; 0)或者bytes-bytes/2(-tcp_adv_win_scale)(如果tcp_adv_win_scale ; 128Mb 32768-61000 ;0)则系统将忽略所有发送给自己的I

43、CMP ECHO请求或那些广播地址的请求。 icmp_destunreach_rate - 整数 icmp_paramprob_rate - 整数 icmp_timeexceed_rate - 整数 icmp_echoreply_rate - 整数(not enabled per default) 限制发向特定目标的ICMP数据报的最大速率。0表示没有任何限制，否则表示jiffies数据单位中允许发送的个数。 icmp_ignore_bogus_error_responses - 布尔类型 某些路由器违背RFC1122标准，其对广播帧发送伪造的响应来应答。这种违背行为通常会被以告警的方式记录在

44、系统日志中。如果该选项设置为True，内核不会记录这种警告信息。默认值为False。 (1) Jiffie: 内核使用的内部时间单位，在i386系统上大小为1/100s，在Alpha中为1/1024S。在/usr/include/asm/param.h中的HZ定义有特定系统的值。 conf/interface/*: conf/all/*是特定的，用来修改所有接口的设置，is special and changes the settings for all interfaces. Change special settings per interface. log_martians - 布尔类型

45、 记录带有不允许的地址的数据报到内核日志中。 accept_redirects - 布尔类型 收发接收ICMP重定向消息。对于主机来说默认为True，对于用作路由器时默认值为False。 forwarding - 布尔类型 在该接口打开转发功能 mc_forwarding - 布尔类型 是否进行多播路由。只有内核编译有CONFIG_MROUTE并且有路由服务程序在运行该参数才有效。 proxy_arp - 布尔类型 打开proxy arp功能。 shared_media - 布尔类型 发送(路由器)或接收(主机) RFC1620 共享媒体重定向。覆盖ip_secure_redirects的值。

46、默认为True。 secure_redirects - 布尔类型 仅仅接收发给默认网关列表中网关的ICMP重定向消息，默认值是TRUE。 send_redirects - 布尔类型 如果是router，发送重定向消息，默认值是TRUE bootp_relay - 布尔类型 接收源地址为0.b.c.d，目的地址不是本机的数据报。用来支持BOOTP转发服务进程，该进程将捕获并转发该包。默认为False，目前还没有实现。 accept_source_route - 布尔类型 接收带有SRR选项的数据报。对于主机来说默认为False，对于用作路由器时默认值为True。 rp_filte 参数类型 1

47、- 通过反向路径回溯进行源地址验证(在RFC1812中定义)。对于单穴主机和stub网络路由器推荐使用该选项。 0 - 不通过反向路径回溯进行源地址验证。 默认值为0。某些发布在启动时自动将其打开。 sysctl优化linux网络sysctl优化linux网络1, 优化网络设备接收队列 dev_max_backlog=3000 该文件表示在每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。 默认值：Red Hat Linux release 9 (Shrike)默认为300 rhel5 默认为1000 建议值为30002， net.ipv4.conf.lo

48、.accept_redirects accept_redirects：该参数位于 /proc/sys/net/ipv4/conf/DEV/accept_redirects （DEV表示具体的网络接口），如果你的主机所在的网段中有两个路由器，你将其中一个设置成了缺省网关，但是该网关在收到你的ip包时发现该ip包必须经 过另外一个路由器，这时这个路由器就会给你发一个所谓的“重定向”icmp包，告诉将ip包转发到另外一个路由器。参数值为布尔值，1表示接收这类重定向 icmp 信息，0表示忽略。在充当路由器的linux主机上缺省值为0，在一般的linux主机上缺省值为1。建议将其改为0，或者使用“安全

49、重定向”（见下文） 以消除安全性隐患。 net.ipv4.conf.lo.accept_redirects=0 net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.eth0.accept_redirects=0 net.ipv4.conf.default.accept_redirects=03， 打开TIME-WAIT套接字重用功能，对于存在大量连接的Web服务器非常有效。 net.ipv4.tcp_tw_recyle=1 net.ipv4.tcp_tw_reuse=1 10) /proc/sys/net/ipv4/tcp_tw_recyle 打开快速 TIME-WAIT sockets 回收。除非得到技术专家的建议或要求，请不要随 意修改这个值。 缺省