Salut la liste, je vais mettre en place un routeur/firewall basé sur Debian sur machine soekris net4801 (proc Geode + 256mb RAM + 3 networks 100mbps)
Ce que ce routeur va fait : 1/ one-to-one NAT sur une class C (translation IP publiques / IP privées) 2/ firewall avec shorewall 3/ les règles sont assez basiques : - ouverture de tout pour 2-3 IP fixes - ouverture des ports 53/80/443/25/110 pour internet - ouverture de ports spécifiques pour 2-3 IP fixes (sqlserver, mysql, postgres) 4/ ce firewall peut router/commuter énormement de paquets car les serveurs qui sont derrière sont à forts trafics J'ai déjà mis deci dans mon /etc/sysctl.conf : # Set the ip_conntrack limit net.ipv4.netfilter.ip_conntrack_max=65500 # Ne pas permettre les connexions TCP de plus de 2 jours net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=172800 # # Set the arp limit # pour eviter Neighbour table overflow net.ipv4.neigh.default.gc_thresh1=512 net.ipv4.neigh.default.gc_thresh2=2048 net.ipv4.neigh.default.gc_thresh3=4096 # pour eviter des problèmes avec les serveurs très chargés fs.file-max=16000 net.ipv4.ip_conntrack_max=65500 #net.ipv4.ip_conntrack_max=100000 # Ignorer les mauvais messages d'erreurs ICMP net.ipv4.icmp_ignore_bogus_error_responses = 1 # Ignorer les messages de diffusion ICMP net.ipv4.icmp_echo_ignore_broadcasts = 1 # Journaliser les adresses sources falsifiées ou non routables net.ipv4.conf.all.log_martians = 1 # Refuser les adresses sources falsifiées ou non routables net.ipv4.conf.all.rp_filter = 1 # Refuser les messages ICMP redirect net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 # Refuser le routage source net.ipv4.conf.all.accept_source_route = 0 # Se proteger des attaques de type Syn Flood net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_ecn = 1 Ces valeurs vous paraissent-elles corectes ? Mettriez-vous autre chose dans ce fichier ou d'autres valeurs ? Tout retour d'expérience/conseils sont les bienvenus ... Merci Franck -- http://www.linuxpourtous.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]