本文对应的运行时参数位于procsysnetipv4.docxVIP

本文对应的运行时参数位于：/proc/sys/net/ipv4/*。“掌控”这些参数，能使您在Linux网络服务问题解决、调优方面功力大增。此乃“系统高手”之必备知识。临时改动某个系统参数的值，可用两种方法来实现，例如，想启用IP路由转发功能：echo 1 /proc/sys/net/ipv4/ip_forward或sysctl -w net.ipv4.ip_forward=1以上两种方法都可以即时开启路由转发功能。但如果系统重启，或执行了“service network restart”命令，所设置的值即会丢失，如果想永久保留设置，可以修改：/etc/sysctl.conf 将 net.ipv4.ip_forward=0 改为 net.ipv4.ip_forward=1 然后执行 sysctl –p。系统命令 sysctl 常用参数的意义：-w 临时改动某个指定参数的值。?-a 显示所有的系统参数。?-p 从指定的文件加载系统参数，默认的从 /etc/sysctl.conf 中加载。ICMP相关服务参数配置通常我们使用 icmp包来探测目标主机上的其它协议（如TCP和UDP）是否可用。比如：包含“destination unreachable”信息的 icmp包就是最常见的icmp应用。icmp_destunreach_rateINTEGER。设置内容为“Destination Unreachable”的icmp包响应速率。设置值应为整数，以jiffies计。举例。假设有A、B两部主机，首先我们在主机A上执行以下 ipchains 语句：“ipchains －A input -p icmp -j REJECT”，这里的REJECT和DENY不同，DENY会丢掉符合条件的包如同没有接收到该包一样，而REJECT会在丢掉该包的同时给请求主机发回一个Destination Unreachable的icmp。然后在主机B上ping主机A，这时候我们会发现“Destination Unreachable”icmp包的响应速度是很及时的。接着我们在主机A上执行：“echo 1000 /proc/sys/net/ipv4/icmp_destunreach_rate”，也即每10秒钟响应一个“Destination Unreachable”的icmp包。这时候再从主机B上ping主机A就会发现“Destination Unreachable”icmp包的响应速度已经明显变慢，刚好是每10秒响应一次。icmp_echo_ignore_allBOOLEAN?。设置系统是否忽略所有的 ICMP Echo 请求，如果设置了一个非0值，系统将忽略所有的 icmp echo 请求。其实这是 icmp_echoreply_rate 的一种极端情况。1：表示忽略，0：表示响应。Ping命令通过向计算机发送 ICMP Echo 请求报文并且监听回应报文的返回，以校验与远程计算机或本地计算机的连接。设置为1可能防止你被利用成为DoS攻击的跳板。icmp_echo_ignore_broadcastsBOOLEAN?。设置是否响应 icmp echo 请求广播，设置值应为布尔值，0表示响应 icmp echo 请求广播，1表示忽略。这可以成为非常好用的防止拒绝服务攻击的工具。设置为1来忽略这些子网广播消息。注意：windows系统是不响应 icmp echo 请求广播的。举例：在 RedHat6.x 和 RedHat7 上该值缺省为0，这样当有个用户ping这2台服务器所在的网段（子网）的网络地址时，所有的Linux服务器就会响应，从而也能让让该用户得到服务器的IP地址。现在可以执行“echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts”来关闭该功能，从而防止icmp风暴，防止网络阻塞。icmp_echoreply_rateINTEGER。设置系统响应 icmp echo 请求的icmp包的响应速度。举例：假设有A、B两部主机，首先我们在主机B上ping主机A，可以看到响应很正常，然后在主机A上执行“echo 1000 /proc/sys/net/ipv4/icmp_echoreply_rate”也即每10秒钟响应一个 icmp echo 请求包。然后再ping主机A就可以看到响应速度已经变成10秒一次。可以合理的调整该参数的值来防止icmp风暴。icmp_ignore_bogus_error_responsesBOOLEAN。设置它之后，可以忽略由网络中的那些声称回应地址是广播地址的主机生成的ICMP错误。icmp_paramprob_rateINTEGER。当系统接收到数据报的损坏的IP或TCP头时