Pfsense防火墙 更多的可调参数

时间:2024-4-18    作者:江湖剑客    分类:

系统——》高级选项——》可调参数即可

查看当前参数情况(建议随便添加一个,相关参考:https://blog.go176.net/?post=39

通过备份文件,定位到"sysctl",将下面文本复制粘贴(注意缩进格式)即可添加

相关xml参数:

        <item>
            <tunable>net.inet.tcp.sendspace</tunable>
            <value>65536</value>
            <descr><![CDATA[最大的待发送TCP数据缓冲区空间]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.recvspace</tunable>
            <value>65536</value>
            <descr><![CDATA[最大的接受TCP缓冲区空间]]></descr>
        </item>
        <item>
            <tunable>net.inet.udp.sendspace</tunable>
            <value>65535</value>
            <descr><![CDATA[最大的发送UDP数据缓冲区大小]]></descr>
        </item>
        <item>
            <tunable>net.inet.udp.maxdgram</tunable>
            <value>65535</value>
            <descr><![CDATA[最大的接受UDP缓冲区大小]]></descr>
        </item>
        <item>
            <tunable>net.local.stream.sendspace</tunable>
            <value>65535</value>
            <descr><![CDATA[本地套接字连接的数据发送空间]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.rfc1323</tunable>
            <value>1</value>
            <descr><![CDATA[加快网络性能的协议]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.rfc1644</tunable>
            <value>1</value>
            <descr><![CDATA[加快网络性能的协议]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.rfc3042</tunable>
            <value>1</value>
            <descr><![CDATA[加快网络性能的协议]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.rfc3390</tunable>
            <value>1</value>
            <descr><![CDATA[加快网络性能的协议]]></descr>
        </item>
        <item>
            <tunable>kern.ipc.maxsockbuf</tunable>
            <value>2097152</value>
            <descr><![CDATA[最大的套接字缓冲区]]></descr>
        </item>
        <item>
            <tunable>kern.maxfiles</tunable>
            <value>65536</value>
            <descr><![CDATA[系统中允许的最多文件数量]]></descr>
        </item>
        <item>
            <tunable>kern.maxfilesperproc</tunable>
            <value>32768</value>
            <descr><![CDATA[每个进程能够同时打开的最大文件数量]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.delayed_ack</tunable>
            <value>0</value>
            <descr><![CDATA[延迟ACK应答数据包设置]]></descr>
        </item>
        <item>
            <tunable>net.inet.icmp.drop_redirect</tunable>
            <value>1</value>
            <descr><![CDATA[屏蔽ICMP重定向功能]]></descr>
        </item>
        <item>
            <tunable>net.inet.icmp.log_redirect</tunable>
            <value>1</value>
            <descr><![CDATA[屏蔽ICMP重定向功能]]></descr>
        </item>
        <item>
            <tunable>net.inet.ip.redirect</tunable>
            <value>0</value>
            <descr><![CDATA[屏蔽ICMP重定向功能]]></descr>
        </item>
        <item>
            <tunable>net.inet6.ip6.redirect</tunable>
            <value>0</value>
            <descr><![CDATA[屏蔽ICMP重定向功能]]></descr>
        </item>
        <item>
            <tunable>net.inet.icmp.bmcastecho</tunable>
            <value>0</value>
            <descr><![CDATA[防止ICMP广播风暴]]></descr>
        </item>
        <item>
            <tunable>net.inet.icmp.maskrepl</tunable>
            <value>0</value>
            <descr><![CDATA[防止ICMP广播风暴]]></descr>
        </item>
        <item>
            <tunable>net.inet.icmp.icmplim</tunable>
            <value>100</value>
            <descr><![CDATA[限制系统发送ICMP速率]]></descr>
        </item>
        <item>
            <tunable>net.inet.icmp.icmplim_output</tunable>
            <value>0</value>
            <descr><![CDATA[安全参数]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.drop_synfin</tunable>
            <value>1</value>
            <descr><![CDATA[安全参数]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.always_keepalive</tunable>
            <value>1</value>
            <descr><![CDATA[清除未正常断开的TCP连接]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.blackhole</tunable>
            <value>2</value>
            <descr><![CDATA[控制接收到已关闭端口数据包的行为]]></descr>
        </item>
        <item>
            <tunable>net.inet.udp.blackhole</tunable>
            <value>1</value>
            <descr><![CDATA[控制接收到已关闭端口数据包的行为]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.inflight.enable</tunable>
            <value>1</value>
            <descr><![CDATA[为网络数据连接时提供缓冲]]></descr>
        </item>
        <item>
            <tunable>net.inet.ip.fastforwarding</tunable>
            <value>0</value>
            <descr><![CDATA[路由表与ARP数据表优化]]></descr>
        </item>
        <item>
            <tunable>kern.ipc.somaxconn</tunable>
            <value>32768</value>
            <descr><![CDATA[并发连接数]]></descr>
        </item>
        <item>
            <tunable>security.bsd.see_other_uids</tunable>
            <value>0</value>
            <descr><![CDATA[禁止用户查看其他用户的进程]]></descr>
        </item>
        <item>
            <tunable>kern.securelevel</tunable>
            <value>0</value>
            <descr><![CDATA[设置kernel安全级别]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.log_in_vain</tunable>
            <value>1</value>
            <descr><![CDATA[记录TCP与UDP连接]]></descr>
        </item>
        <item>
            <tunable>net.inet.udp.log_in_vain</tunable>
            <value>1</value>
            <descr><![CDATA[记录TCP与UDP连接]]></descr>
        </item>
        <item>
            <tunable>net.inet.udp.checksum</tunable>
            <value>1</value>
            <descr><![CDATA[防止不正确的UDP包攻击]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.syncookies</tunable>
            <value>1</value>
            <descr><![CDATA[防止DOS攻击]]></descr>
        </item>
        <item>
            <tunable>kern.ipc.shm_use_phys</tunable>
            <value>1</value>
            <descr><![CDATA[共享内存支持与限制]]></descr>
        </item>
        <item>
            <tunable>kern.ipc.shmmax</tunable>
            <value>67108864</value>
            <descr><![CDATA[共享内存支持与限制]]></descr>
        </item>
        <item>
            <tunable>kern.ipc.shmall</tunable>
            <value>32768</value>
            <descr><![CDATA[共享内存支持与限制]]></descr>
        </item>
        <item>
            <tunable>kern.coredump</tunable>
            <value>0</value>
            <descr><![CDATA[程序崩溃记录控制]]></descr>
        </item>
        <item>
            <tunable>net.local.stream.recvspace</tunable>
            <value>65536</value>
            <descr><![CDATA[lo本地数据流接收和发送空间]]></descr>
        </item>
        <item>
            <tunable>net.local.dgram.maxdgram</tunable>
            <value>16384</value>
            <descr><![CDATA[lo本地数据流接收和发送空间]]></descr>
        </item>
        <item>
            <tunable>net.local.dgram.recvspace</tunable>
            <value>65536</value>
            <descr><![CDATA[lo本地数据流接收和发送空间]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.mssdflt</tunable>
            <value>1460</value>
            <descr><![CDATA[数据包数据段大小]]></descr>
        </item>
        <item>
            <tunable>net.inet.tcp.minmss</tunable>
            <value>1460</value>
            <descr><![CDATA[数据包数据段大小]]></descr>
        </item>
        <item>
            <tunable>net.inet.ip.fw.dyn_max</tunable>
            <value>65535</value>
            <descr><![CDATA[动态防火墙规则数量上限]]></descr>
        </item>
        <item>
            <tunable>net.inet.ipf.fr_tcpidletimeout</tunable>
            <value>864000</value>
            <descr><![CDATA[TCP连接空闲保留时间(秒)]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_syncookies</tunable>
            <value>1</value>
            <descr><![CDATA[启用SYN Cookies以防止 SYN洪泛攻击]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_tw_reuse</tunable>
            <value>1</value>
            <descr><![CDATA[启用TIME_WAIT状态的socket重用]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_tw_recycle</tunable>
            <value>1</value>
            <descr><![CDATA[启用TIME_WAIT状态的socket快速回收]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_fin_timeout</tunable>
            <value>30</value>
            <descr><![CDATA[TCP连接终止后等待FIN报文的超时时间]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.ip_local_port_range</tunable>
            <value>1024 65000</value>
            <descr><![CDATA[本地端口范围]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_max_syn_backlog</tunable>
            <value>8192</value>
            <descr><![CDATA[SYN队列最大长度]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_max_tw_buckets</tunable>
            <value>5000</value>
            <descr><![CDATA[TIME_WAIT状态的socket最大数量]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.ip_forward</tunable>
            <value>0</value>
            <descr><![CDATA[禁用包过滤功能]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.conf.default.rp_filter</tunable>
            <value>1</value>
            <descr><![CDATA[启用源路由核查功能]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.conf.default.accept_source_route</tunable>
            <value>0</value>
            <descr><![CDATA[禁用所有IP源路由]]></descr>
        </item>
        <item>
            <tunable>kernel.sysrq</tunable>
            <value>0</value>
            <descr><![CDATA[为安全起见,禁用sysrq组合键以了解系统当前运行情况]]></descr>
        </item>
        <item>
            <tunable>kernel.core_uses_pid</tunable>
            <value>1</value>
            <descr><![CDATA[控制core文件的文件名是否添加pid作为扩展]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_syncookies</tunable>
            <value>1</value>
            <descr><![CDATA[开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理]]></descr>
        </item>
        <item>
            <tunable>kernel.msgmnb</tunable>
            <value>65536</value>
            <descr><![CDATA[每个消息队列的大小(单位:字节)限制]]></descr>
        </item>
        <item>
            <tunable>kernel.msgmax</tunable>
            <value>65536</value>
            <descr><![CDATA[整个系统最大消息队列数量限制]]></descr>
        </item>
        <item>
            <tunable>kernel.shmmax</tunable>
            <value>68719476736</value>
            <descr><![CDATA[单个共享内存段的大小(单位:字节)限制,计算公式G*1024*1024*1024(字节)]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_max_tw_buckets</tunable>
            <value>6000</value>
            <descr><![CDATA[timewait的数量,默认是180000]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_sack</tunable>
            <value>1</value>
            <descr><![CDATA[开启有选择的应答]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_window_scaling</tunable>
            <value>1</value>
            <descr><![CDATA[支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_rmem</tunable>
            <value>4096 131072 1048576</value>
            <descr><![CDATA[TCP读buffer]]></descr>
        </item>
        <item>
            <tunable>net.ipv4.tcp_wmem</tunable>
            <value>4096 131072 1048576</value>
            <descr><![CDATA[TCP写buffer]]></descr>
        </item>
        <item>
            <tunable>net.core.netdev_max_backlog</tunable>
            <value>262144</value>
            <descr><![CDATA[每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目]]></descr>
        </item>


扫描二维码,在手机上阅读