真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

成都創(chuàng)新互聯(lián)網站制作重慶分公司

防火墻iptables

第1章 防火墻iptables

網絡防火墻就是一個位于計算機和它所連接的網絡之間的防火墻。該計算機流入流出的所有網絡通信均要經過此防火墻。防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些***,以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊***。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明***者的所有通信。

成都創(chuàng)新互聯(lián)公司主要從事成都網站建設、網站建設、網頁設計、企業(yè)做網站、公司建網站等業(yè)務。立足成都服務建平,十年網站建設經驗,價格優(yōu)惠、服務專業(yè),歡迎來電咨詢建站服務:18982081108

 

1.1iptables的介紹

平時說iptables是防火墻,其實iptables是iptables/netfilter組合中的一個,只有iptables/netfilter才應該叫做防火墻,它是基于軟件方式工作的網絡防火墻。iptables工作于用戶空間,是防火墻的規(guī)則編寫工具,使用iptables編寫規(guī)則并且發(fā)送到netfilter;防火墻的規(guī)則剛放到netfilter中,它是一個能夠讓規(guī)則生效的網絡架構,工作于內核空間。

 

iptables是什么?

防火墻,防火的墻。

 

iptables是防火墻軟件,防止***等***、非法訪問我們的網站或服務器。

 

防火墻有硬件和軟件:

1、iptables是軟件防火墻

2、硬件防火墻

【商用防火墻】

華為

深信服

思科

H3C

Juniper

天融信

飛塔

網康

綠盟科技

金盾

 

開源的基于數據包過濾的防火墻工具。

還可以做NAT映射:1)網關:局域網共享上網。2)IP或端口映射。

 

Iptables主要工作在OSI七層的二、三四層,如果重新編譯內核,

Iptables也可以支持7層控制(squid代理+iptables)。

 

Iptables企業(yè)應用場景

1、主機防火墻(filter表的INPUT鏈)。

2、局域網共享上網(nat表的POSTROUTING鏈)。半個路由器,NAT功能。

3、端口及IP映射(nat表的PREROUTING鏈),硬防的NAT功能。

4、IP一對一映射。

 

1.2iptables包過濾流程

 

iptables工作流程小結:

1、防火墻是一層層過濾的。實際是按照配置規(guī)則的順序從上到下,從前到后進行過濾的。

2、如果匹配上了規(guī)則,即明確表明是阻止還是通過,此時數據包就不在向下匹配新規(guī)則了。

3、如果所有規(guī)則中沒有明確表明是阻止還是通過這個數據包,也就是沒有匹配上規(guī)則,向下進行匹配,直到匹配默認規(guī)則得到明確的阻止還是通過。

4、防火墻的默認規(guī)則是對應鏈的所有的規(guī)則執(zhí)行完以后才會執(zhí)行的(最后執(zhí)行的規(guī)則)。

 

1.3iptables具體是由什么組成?

包含關系:

iptables防火墻==>4張表(tables)===>一共有5個鏈=(chains)====>規(guī)則(policy)

                 代表不同功能     (進入、流出、轉發(fā))    具體執(zhí)行辦事的

                                                             

工作內容:就是需要知道在哪張表哪個鏈上,配置合適的規(guī)則,從而控制數據包的處理!

iptables包含4張表:

  1.filter(負責主機防火墻功能)******

  2.nat(端口或IP映射以及共享上網功能)******

  3.mangle(配置路由標記 ttltos mark)不用學習。

  4.raw不用介紹

表對應的鏈:

  filter:INPUT,OUTPUT,FORWARD

  NAT:POSTROUTING,PREROUTING,OUTPUT

  mangle:INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING

  raw

5鏈:

  *INPUT:進入主機的數據包。主機防火墻(filter表的INPUT鏈)

  OUTPUT:流出主機的數據包。

  FORWARD:流經主機的數據包。

  *PREROUTING:進入服務器最先經過的鏈,NAT端口或IP映射。(nat表的PREROUTING鏈)

  *POSTROUTING:在流出服務器最后經過的鏈,NAT共享上網。局域網共享上網(nat表的POSTROUTING鏈)

 

1.4iptables常用命令參數

 

 

 

查看防火墻信息的兩種方式

[root@web01 ~]# /etc/init.d/iptables status

Table: filter

Chain INPUT (policy ACCEPT)

num target     prot opt source               destination        

1   ACCEPT     all  -- 0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

2   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          

3   ACCEPT     all  -- 0.0.0.0/0            0.0.0.0/0          

4   ACCEPT     tcp  -- 0.0.0.0/0           0.0.0.0/0           state NEW tcpdpt:22

5   REJECT     all  -- 0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

 

Chain FORWARD (policy ACCEPT)

num target     prot opt source               destination        

1   REJECT     all  -- 0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

 

Chain OUTPUT (policy ACCEPT)

num target     prot opt source               destination        

 

[root@web01 ~]# iptables -nL

Chain INPUT (policy ACCEPT)

target    prot opt source              destination        

ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

ACCEPT    icmp --  0.0.0.0/0            0.0.0.0/0          

ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0          

ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22

REJECT    all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

 

Chain FORWARD (policy ACCEPT)

target    prot opt source               destination        

REJECT    all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

 

Chain OUTPUT (policy ACCEPT)

target    prot opt source              destination        

[root@web01 ~]#

 

 

查看啟動狀態(tài)命令:

iptables -nL --line-number

-n            #<==以數字的形式顯示規(guī)則

-L            #<==列表鏈里的所有規(guī)則

--line-number #<==打印規(guī)則序號

-t 指定表(default: `filter')

 

先打開防火墻

[root@web01 ~]# /etc/init.d/iptables start

iptables: Applying firewall rules:                         [  OK  ]

 

 

 

防火墻的命令:

iptables [-t table] -A chainrule-specification

iptables [-t table] -I chain [rulenum]rule-specification

iptables [-t table] -D chain rulenum   #<==根據規(guī)則號刪除。

iptables [-t table] -D chainrule-specification

注釋:

-t 指定表d(efault: `filter')

-A #<==把規(guī)則添加到指定的鏈上,默認添加到最后一行。

-I #<==插入規(guī)則,默認插入到第一行。

-D #<==刪除鏈上的規(guī)則

 

根據規(guī)則號刪除:

iptables -D INPUT 4 #<==4是規(guī)則號。

iptables -t nat -D PREROUTING 2

重置防火墻需要執(zhí)行的三個步驟

-F #<==清除一個鏈或所有鏈上的規(guī)則

-Z #<==鏈的記數器清零

-X #<==刪除用戶自定義的鏈。

 

[root@web02 ~]# iptables -Z   把鏈的計數器清零

[root@web02 ~]# iptables -X   刪除用戶自定義的鏈

[root@web02 ~]# iptables -F   清除一個鏈或所有鏈上的規(guī)則

[root@web02 ~]# iptables -nL  查看防火墻的信息

 

封22端口

iptables -A INPUT -p tcp --dport 22 -j DROP

規(guī)則注釋:

-p      #<==指定過濾的協(xié)議-p(tcp,udp,icmp,all)

--dport  #<==指定目標端口(用戶請求的端口)。

-j       #<==對規(guī)則的具體處理方法(ACCEPT,DROP,REJECT,SNAT/DNAT)

--sport   #<==指定源端口。

 

禁止10.0.0.253訪問

[root@web01 ~]# iptables -I INPUT -p tcp -s10.0.0.253 -i eth0 -j DROP

[root@web02 ~]# iptables -A INPUT -p tcp !-s 10.0.0.2 -i eth0 -j DROP

-s      #<==指定源地址。 ! 取反。

-d      #<==指定目的地址。

-i      #<==進入的網絡接口(eth0,eth2)。

-o      #<==出去的網絡接口(eth0,eth2)。

 

匹配端口范圍:

iptables -I INPUT -p tcp -m multiport--dport 21,22,23,24 -j DROP

iptables -I INPUT -p tcp --dport 3306:8809-j ACCEPT

iptables -I INPUT -p tcp --dport 18:80 -j DROP  #<==最佳

 

 

匹配ICMP類型

iptables -A INPUT -p icmp --icmp-type 8

例:iptables -AINPUT -p icmp --icmp-type 8 -j DROP

iptables -A INPUT -p icmp -m icmp--icmp-type any -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/24 -picmp -m icmp --icmp-type any -j ACCEPT

 

匹配網絡狀態(tài)

-m state --state

   NEW:已經或將啟動新的連接

   ESTABLISHED:已建立的連接

   RELATED:正在啟動的新連接

   INVALID:非法或無法識別的

 

允許關聯(lián)的狀態(tài)包 ftp協(xié)議

iptables -A INPUT  -m state --state ESTABLISHED,RELATED -jACCEPT

 

限制指定時間包的允許通過數量及并發(fā)數

-m limit --limit n/{second/minute/hour}:

指定時間內的請求速率"n"為速率,后面為時間分別為:秒、分、時

iptables -I INPUT -p icmp --icmp-type 8 -mlimit --limit 6/min -j DROP

 

--limit-burst [n]

在同一時間內允許通過的請求"n"為數字,不指定默認為5

iptables -I INPUT -s 10.0.0.0/24 -p icmp--icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT

 

 

iptables命令總結

命令

說明

-A

把規(guī)則添加到指定的鏈上

-p

指定過濾的協(xié)議

-s

指定源地址

-d

指定目的地址

-i

進入的網絡接口(eth0,eth2)

-o

出去的網絡接口(eth0,eth2)

--dport

指定目標端口

--sport 

指定源端口

--jump / -j

對規(guī)則的具體處理方法(ACCEPT,DROP,REJECT,SNAT/DNAT)

ACCEPT 允許

DROP   拒絕

REJECT 丟棄

SNAT 源地址轉換

DNAT 目的地址轉換



-D chain 

刪除鏈上的規(guī)則

-D chain  rulenum

根據規(guī)則號刪除規(guī)則

-I

插入規(guī)則到第一行

-L

列表鏈里的所有規(guī)則(iptables  -nL)

-n

以數字的形式顯示規(guī)則

-P

指定鏈的默認規(guī)則

-F

清除一個鏈或所有鏈上的規(guī)則

-Z

鏈的記數器清零

-N

用戶自定義的鏈

-X

刪除用戶自定義的鏈

--line-numbers

打印規(guī)則序號

-t

指定表(default:  `filter')

 

 

讓防火墻配置文件永久生效的方法:

方法一:

/etc/init.d/iptables save

方法二:

iptables-save >/etc/sysconfig/iptables

第2章 企業(yè)案例

2.1部署一個企業(yè)級主機防火墻案例。

#清除所有鏈上的規(guī)則

[root@web01 ~]# iptables -F

#刪除用戶自定義的鏈

[root@web01 ~]# iptables -X

#鏈的計數器清零

[root@web01 ~]# iptables -Z

#允許22端口連接

[root@web01 ~]# iptables -A INPUT -p tcp--dport 22 -j ACCEPT

#允許172.16.1.0網段的主機連接22端口

[root@web01 ~]# iptables -A INPUT -p tcp -s172.16.1.0/24 --dport 22 -j ACCEPT

#不允許其他的數據端口進入

[root@web01 ~]# iptables -P INPUT DROP

#允許數據包流出

[root@web01 ~]# iptables -P OUTPUT ACCEPT

#不允許流經的數據包通過

[root@web01 ~]# iptables -P FORWARD DROP

#顯示iptables詳細的規(guī)則信息

[root@web01 ~]# iptables -nL

Chain INPUT (policy DROP)

target    prot opt source              destination        

ACCEPT    all  --  10.0.0.0/24          0.0.0.0/0          

ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

 

Chain FORWARD (policy DROP)

target    prot opt source              destination

 

Chain OUTPUT (policy ACCEPT)

target    prot opt source              destination

#允許80端口和443端口進入

[root@web02 ~]# iptables -A INPUT -p tcp -mmultiport --dport 80,443 -j ACCEPT

#允許172.16.1.0/24范圍的主機進入

[root@web02 ~]# iptables -A INPUT -s172.16.1.0/24 -j ACCEPT

#允許lo本地環(huán)回接口進入

[root@web02 ~]# iptables -A INPUT -i lo -jACCEPT

#允許ip ping服務器

iptables -A INPUT -p icmp --icmp-type 8 -jACCEPT

#允許已經建立連接的和正在建立連接的狀態(tài)數據包進入

iptables -A INPUT -m state --stateESTABLISHED,RELATED -j ACCEPT

#使修改的配置永久生效

[root@web01 ~]# /etc/init.d/iptables  save

iptables: Saving firewall rules to/etc/sysconfig/iptables:[  OK  ]

 

掃描測試:使用云主機部署,用筆記本虛擬機掃描

[root@web02 ~]# nmap www.baidu.com

Starting Nmap 5.51 ( http://nmap.org ) at2017-04-04 12:23 CST

Nmap scan report for www.baidu.com(119.75.217.109)

Host is up (0.020s latency).

Other addresses for www.baidu.com (notscanned): 119.75.218.70

Not shown: 998 filtered ports

PORT   STATE SERVICE

80/tcp open  http

443/tcp open  https

Nmap done: 1 IP address (1 host up) scannedin 13.60 seconds

 

[root@db01 ~]# nmap 10.0.0.8 -p 1-1024

 

Starting Nmap 5.51 ( http://nmap.org ) at2017-06-15 11:59 CST

Nmap scan report for 10.0.0.8

Host is up (0.00095s latency).

Not shown: 1021 filtered ports

PORT   STATE  SERVICE

22/tcp open   ssh

80/tcp open   http

443/tcp closed https

MAC Address: 00:0C:29:2F:E4:DB (VMware)

 

 

生產維護iptables:

1、日常改/etc/sysconfig/iptables配置

-A INPUT -p tcp -m tcp --dport 3306 -jACCEPT

生效:

       1)/etc/init.d/iptables reload

       2)iptables -I INPUT 3 -p tcp -m tcp--dport 3306 -j ACCEPT

 

 

2、臨時封Ip(-I)

iptables -I INPUT -s 203.71.78.10 -j DROP

 

 

腳本部署

寫成腳本

#!/bin/bash

#this is a server firewall created by  oldboy 17:03 2006-7-26

#updated by oldboy on 10:30 2009-6-23

#http://blog.etiantian.org

#qq:49000448

#define variable PATH

IPT=/sbin/iptables

 

#Remove any existing rules

$IPT -F

$IPT -X

$IPT -Z

 

#setting default firewall policy

$IPT --policy OUTPUT ACCEPT

$IPT --policy FORWARD DROP

$IPT -P INPUT DROP

 

#setting for loopback interface

$IPT -A INPUT -i lo -j ACCEPT

 

#setting access rules

#one,ip access rules,allow all the ips of

$IPT -A INPUT -s 202.81.17.0/24 -p all -jACCEPT

$IPT -A INPUT -s 202.81.18.0/24 -p all -jACCEPT

$IPT -A INPUT -s 124.43.62.96/27 -p all -jACCEPT

$IPT -A INPUT -s 192.168.1.0/24 -p all -jACCEPT

$IPT -A INPUT -s 10.0.0.0/24 -p all -jACCEPT

 

#icmp

$IPT -A INPUT -p icmp -m icmp --icmp-typeany -j ACCEPT

 

#others RELATED

$IPT -A INPUT  -m state --state ESTABLISHED,RELATED -jACCEPT

 

/etc/init.d/iptables save

#iptables-save >/etc/sysconfig/iptables

 

 

 

 

 

 

 

2.2局域網共享上網項目案例(內網訪問外網)

 

內網服務器

更改MySQL服務器

第一步:關閉eth0網卡

ifdown eth0

第二步:增加網關

route add default gw172.16.1.8

第三步:route -n查看路由

第四步:編輯/etc/resolv.conf增加一個10.0.0.254(增加DNS域名服務器解析)

vim /etc/resolv.conf

nameserver 10.0.0.254

 

 

 

外網服務器

web服務器

第一步:修改內核配置文件,開啟代理轉發(fā)

vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

第二步:然后執(zhí)行sysctl -p使修改生效

sysctl -p

第三步:調整iptables環(huán)境

iptables -P INPUT ACCEPT

#修改默認規(guī)則允許流入主機包的鏈

iptables -P FORWARD ACCEPT

#修改默認規(guī)則允許流經主機包的鏈

iptables -F

#情況所有鏈上的規(guī)則

 

生產企業(yè)的案例

iptables -t nat -IPOSTROUTING -o eth0 -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.8

把172.16.1.0/24范圍內所有的IP,要出去的數據包轉換成10.0.0.8IP流出

-t 指定 nat 表 -I 在一條插入局域網共享上網(nat表的POSTROUTING鏈)

-o 指定出去的網絡接口 是eth0 -s 指源ip地址是 172.16.1.0/24網段的主機

-j 對規(guī)則的具體處理方法 源地址轉換  轉換成10.0.0.8

然后內網服務器 ping www.baidu.com就可以ping通,說明可以上外網了。

 

2.3局域網共享的兩種方法:

方法1:適合于有固定外網地址的:

iptables -t nat -A POSTROUTING -s172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.8

把172.16.1.0/24范圍內所有的IP,要出去的數據包轉換成10.0.0.8IP流出

(1)-s 172.16.1.0/24 辦公室或IDC內網網段。

(2)-o eth0 為網關的外網卡接口。

(3)-j SNAT --to-source 10.0.0.8 是網關外網卡IP地址。

--to-source 源地址轉換

方法2:適合變化外網地址(撥號上網):

iptables -t nat -A POSTROUTING -s 172.16.1.0/24-j MASQUERADE    ##偽裝。

把172.16.1.0/24范圍內所有的IP要出去的數據包自動轉換為適當的IP流出

2.4將外網IP的端口映射到內網IP的端口

需求:將網關的IP和9000端口映射到內網服務器的22端口

端口映射10.0.0.8:9000 -->172.16.1.51:22

 

實現(xiàn)命令:

iptables -t nat -APREROUTING -d 10.0.0.8 -p tcp --dport 9000 -j DNAT --to-destination172.16.1.51:22

將訪問10.0.0.8:9000端口的數據包轉換到172.16.1.51:22端口

DNAT目標地址轉換

--to-destination 到目錄地

登錄時候填寫的主機10.0.0.8端口號是9000

 

 

 

2.5IP一對一映射

在有外網的機器上建立一個輔助IP:

ip addr add 10.0.0.81/24 dev eth0 labeleth0:0   #<==輔助IP

iptables -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51

iptables -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source10.0.0.81

 

#適合內網的機器訪問NAT外網的IP

iptables -t nat -I POSTROUTING -s 172.16.1.0/255.255.240.0 -d 10.0.0.81 -j SNAT--to-source 172.16.1.8

 

把從源ip地址是172.16.1.0/255.255.240.0 網段流出的包流到10.0.0.81這個目標ip地址,最后出去的時候轉換成為172.16.1.8這個ip

 

2.6映射多個外網IP上網

方法1:

iptables -t nat-A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source124.42.60.11-124.42.60.16

三層交換機或路由器,劃分VLAN。

 

方法2:

iptables -t nat-A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11

iptables -t nat-A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12

擴大子網,增加廣播風暴。

 

課外閱讀:

(1)生產環(huán)境大于254臺機器網段劃分及路由解決方案詳解01

http://v.youku.com/v_show/id_XNTAyMjAwMzI0.html

 

 

(2) linux route命令深入淺出與實戰(zhàn)案例精講

http://oldboy.blog.51cto.com/2561410/1119453

http://oldboy.blog.51cto.com/2561410/974194

必看3遍以上。

 

 

 

2.7有關iptables的內核優(yōu)化

有關iptables的內核優(yōu)化

調整內核參數文件/etc/sysctl.conf

以下是我的生產環(huán)境的某個服務器的配置:

------------解決time-wait過多-------------

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.tcp_max_tw_buckets = 36000

----------------------------------

net.ipv4.ip_local_port_range = 4000  65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

----------------------------------

#dmesg里面顯示 ip_conntrack: table full, dropping packet.的錯誤提示,什么原因?如何解決?

#iptables優(yōu)化

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established= 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait= 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait= 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait= 120

 

net.ipv4.tcp_syncookies= 1

#→表示開啟SYN Cookies。當出現(xiàn)SYN等待隊列溢出時,啟用cookies來處理,可防范少量SYN***,默認為0,表示關閉;

net.ipv4.tcp_keepalive_time= 1200

#→表示當keepalive起用的時候,TCP發(fā)送keepalive消息的頻度。缺省是2小時,改為20分鐘。

net.ipv4.ip_local_port_range= 4000    65000

#→表示用于向外連接的端口范圍。缺省情況下很小。

net.ipv4.tcp_max_syn_backlog= 8192

#→表示SYN隊列的長度,默認為1024,加大隊列長度為8192,可以容納更多等待連接的網絡連接數。

net.ipv4.tcp_max_tw_buckets= 30000

 #→表示系統(tǒng)同時保持TIME_WAIT套接字的最大數量,如果超過這個數字,TIME_WAIT套接字將立刻被清除并打印警告信息。默認為 180000,對于Apache、Nginx等服務器來說可以調  整低一點,如:改為5000-30000,不同業(yè)務的服務器也可以給大一點,比如lvs,squid。

#上幾行的參數可以很好地減少TIME_WAIT套接字數量,但是對于Squid,效果卻不大。

#此項參數可以控制TIME_WAIT套接字的最大數量,避免Squid服務器被大量的TIME_WAIT套接字拖死。

 

 

 

kernel.shmall = 2097152 # 可以使用的共享內存的總量。

kernel.shmmax = 2147483648 # 最大共享內存段大小。

kernel.shmmni = 4096 # 整個系統(tǒng)共享內存段的最大數目。

kernel.sem = 250 32000 100 128 # 每個信號對象集的最大信號對象數;系統(tǒng)范圍內最大信號對象數;每個信號對象支持的最大操作數;系統(tǒng)范圍內最大信號對象集數。

fs.file-max = 65536 # 系統(tǒng)中所允許的文件句柄最大數目。

net.ipv4.ip_local_port_range = 1024 65000 # 應用程序可使用的IPv4端口范圍。

net.core.rmem_default = 1048576 # 套接字接收緩沖區(qū)大小的缺省值

net.core.rmem_max = 1048576 # 套接字接收緩沖區(qū)大小的最大值

net.core.wmem_default = 262144 # 套接字發(fā)送緩沖區(qū)大小的缺省值

net.core.wmem_max = 262144 # 套接字發(fā)送緩沖區(qū)大小的最大值

fs.aio-max-nr = 1048576 文件系統(tǒng)最大異步io

這里,對每個參數值做個簡要的解釋和說明。

(1)shmmax:該參數定義了共享內存段的最大尺寸(以字節(jié)為單位)。缺省為32M,對于Oracle來說,該缺省值太低了,通常將其設置為2G。

(2)shmmni:這個內核參數用于設置系統(tǒng)范圍內共享內存段的最大數量。該參數的默認值是 4096 。通常不需要更改。

(3)shmall:該參數表示系統(tǒng)一次可以使用的共享內存總量(以頁為單位)。缺省值就是2097152,通常不需要修改。

(4)sem:該參數表示設置的信號量。

(5)file-max:該參數表示文件句柄的最大數量。文件句柄設置表示在Linux系統(tǒng)中可以打開的文件數量。

修改好內核以后,執(zhí)行下面的命令使新的配置生效。

kernel.shmmax:表示單個共享內存段的最大值,以字節(jié)為單位,此值一般為物理內存的一半,不過大一點也沒關系,這里設定的為4GB,即"4294967295/1024/1024/1024=4G"。

kernel.shmmni:表示單個共享內存段的最小值,一般為4kB,即4096bit。來源:www.examda.com

kernel.shmall:表示可用共享內存的總量,單位是頁,在32位系統(tǒng)上一頁等于4kB,也就是4096字節(jié)。

fs.file-max:表示文件句柄的最大數量。文件句柄表示在linux系統(tǒng)中可以打開的文件數量。

ip_local_port_range:表示端口的范圍,為指定的內容。

kernel.sem:表示設置的信號量,這4個參數內容大小固定。

net.core.rmem_default:表示接收套接字緩沖區(qū)大小的缺省值(以字節(jié)為單位)。

net.core.rmem_max :表示接收套接字緩沖區(qū)大小的最大值(以字節(jié)為單位)

net.core.wmem_default:表示發(fā)送套接字緩沖區(qū)大小的缺省值(以字節(jié)為單位)。

net.core.wmem_max:表示發(fā)送套接字緩沖區(qū)大小的最大值(以字節(jié)為單位)。

 

 

 

 

 


文章題目:防火墻iptables
新聞來源:http://weahome.cn/article/jjhgps.html

其他資訊

在線咨詢

微信咨詢

電話咨詢

028-86922220(工作日)

18980820575(7×24)

提交需求

返回頂部