archive/etc/sysctl.d/30-net-related.conf

   1 # /etc/sysctl.d/20-net-related.conf - System control for the network.
   2 #
   3 # Values: [0] disable, [1] enable
   4 #
   5
   6 # Forward Packets between interfaces.
   7 #
   8 # This variable is special, its change resets all configuration
   9 # parameters to their default state (RFC1122 for hosts, RFC1812
  10 # for routers):
  11 #
  12 net.ipv4.ip_forward = 0
  13
  14 # Reverse path filter.
  15 #
  16 # 0 - No source validation.
  17 # 1 - Strict mode as defined in RFC3704 Strict Reverse Path
  18 #     Each incoming packet is tested against the FIB and if the interface
  19 #     is not the best reverse path the packet check will fail.
  20 #     By default failed packets are discarded.
  21 # 2 - Loose mode as defined in RFC3704 Loose Reverse Path
  22 #     Each incoming packet's source address is also tested against the FIB
  23 #     and if the source address is not reachable via any interface
  24 #     the packet check will fail.
  25 #
  26 # Current recommended practice in RFC3704 is to enable strict mode
  27 # to prevent IP spoofing from DDos attacks. If using asymmetric routing
  28 # or other complicated routing, then loose mode is recommended.
  29 #
  30 net.ipv4.conf.all.rp_filter = 1
  31
  32 # ICMP ECHO requests.
  33 #
  34 # If set true, then the kernel will ignore all ICMP ECHO,
  35 # this to prevent a "smurf" attack:
  36 #
  37 net.ipv4.icmp_echo_ignore_broadcasts = 1
  38
  39 # TCP SYN cookie.
  40 #
  41 # Only valid when the kernel was compiled with CONFIG_SYNCOOKIES
  42 # Send out syncookies when the syn backlog queue of a socket
  43 # overflows. This is to prevent against the common
  44 # 'SYN flood attack':
  45 #
  46 net.ipv4.tcp_syncookies = 1
  47
  48 # TCP timestamps.
  49 #
  50 # Enable timestamps as defined in RFC1323:
  51 #
  52 net.ipv4.tcp_timestamps = 1
  53
  54 # Log martians.
  55 #
  56 # Log packets with impossible addresses to kernel log:
  57 #
  58 net.ipv4.conf.all.log_martians = 1