FreeBSD+IPFILTER实现整网(N个Vlan)透明代理上网(11) ##若看到net.inet.ip.intr_queue_drops这个在增加,就要调大net.inet.ip.intr_queue_maxlen,为0最好 ####以下为防止dos攻击##### net.inet.tcp.msl=7500 ##freebsd默认为30000 net.inet.tcp.blackhole=2 ##接收到一个已经关闭的端口发来的所有包,直接drop,如果设置为1则是只针对TCP包 net.inet.udp.blackhole=1 ##接收到一个已经关闭的端口发来的所有UDP包直接drop ########end################# net.inet.ipf.fr_tcpidletimeout=7200 net.inet.ipf.fr_tcpclosewait=60 net.inet.ipf.fr_tcplastack=120 net.inet.ipf.fr_tcptimeout=120 net.inet.ipf.fr_tcpclosed=60 net.inet.ipf.fr_udptimeout=90 net.inet.ipf.fr_icmptimeout=35 net.inet.ipf.fr_tcphalfclosed=300 net.inet.ipf.fr_defnatage=600 net.inet.tcp.inflight.enable=1 ## 为网络数据连接时提供缓冲 net.inet.ip.fastforwarding=0 ##如果打开的话每个目标地址一次转发成功以后它的数据都将被记录进路由表和arp数据表,节约路由的计算时间,但会需要大量的内核内存空间来保存路由表。 #kern.polling.enable=1 ##打开POLLING功能 ##SMP不能和polling一起用 #########################The end################################################## 8:设置rc.sysctl, rc.conf 和 sysctl.conf 权限: chmod 600 /etc/rc.sysctl chmod 600 /etc/rc.conf chmod 600 /etc/sysctl.conf 9:优化启动选项 ##################编辑/boot/loader.conf优化启动######## autoboot_delay="2" ## 设置启动等待时间为2秒。 kern.ipc.nmbclusters="32768" ##设置系统的mbuf大小,系统的缓冲区 kern.ipc.maxsockets="16384" ## 增大线程间套接数量 net.inet.tcp.tcbhashsize="10240" ## 增大TCP控制块数量 beastie_disable="YES" ## 关闭小恶魔图像启动菜单 ############################################# 10:增强ipfilter功能 修改/sys/contrib/ipfilter/netinet/ip_nat.h,把里面的LARGE_NAT前面的注释去掉,改为#define LARGE_NAT 修改/sys/contrib/ipfilter/netinet/ip_state.h IPSTATE_SIZE 64997 IPSTATE_MAX 45497 IP_STATE_MAX=IPSTATE_SIZE*0.7左右 第一个可以调到10万左右 注意都要是质数 11: ##############打系统补丁以后重新编译内核############# cd /usr/src
