Raccomandazioni per il network tuning del Kernel

Vediamo alcune impostazioni per il kernel che possono rivelarsi interessanti per un firewall.
Possono ovviamente essere applicate via /etc/sysctl.conf e editando direttamente i file in /proc/sys/net

sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 - Disabilita echo request su ping a brodcast (anti smurf abuse)
sysctl -w net.ipv4.conf/all/accept_redirects=0 - Impedisce la modifica del routing tramite ICMP redirection.
sysctl -w net.ipv4.conf/all/send_redirects=0
sysctl -w net.ipv4.conf.all.accept_source_route=0 - Disabilita source-routing
sysctl -w net.ipv4.conf.all.forwarding=0
sysctl -w net.ipv4.conf.all.mc_forwarding=0
sysctl -w net.ipv4.conf.all.rp_filter=1 - Forza verifiche di congruità sul traffico in ingresso e uscita
sysctl -w net.ipv4.conf.all.log_martians=1 - Logga e droppa pacchetti "marziani" che non si sa dove routare
sysctl -w net.ipv4.tcp_syncookies=1 - Abilita i syn-cookie, allocando risorse (TCP buffer) solo dopo aver ricevuto un ACK di un SYN/ACK (Utile per Syn Flood)
sysctl -w net.ipv4.tcp_max_syn_backlog=1280 - Aumenta la dimensione della coda delle socket allocate per SYN ricevuti
sysctl -w net.ipv4.tcp_keepalive_time = 1800 - Imposta a 1800 secondi (30 minuti) il tempo di keepalive per una connessione TCP. Al termine di questo tempo una connessione non chiusa ma inattiva, viene chiusa (default 7200)