Les sysctl permettent de paramétrer finement les comportements du système d'exploitation. Les modifications apportées peuvent être placées dans un fichier de configuration indépendant /etc/sysctl.d/local.network.conf
Si le protocole IPv6 n'est pas nécessaire/utilisé, il est préférable de le désactiver. Ceci peut être fait simplement:
net.ipv6.conf.all.disable_ipv6 = 1
Les paramétrages réseau proposés ci-dessous sont recommandés pour un serveur ne faisant pas de routage .
# Pas de routage entre les interfaces net.ipv4.ip_forward = 0 # Filtrage par chemin inverse net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 # Ne pas envoyer de redirections ICMP net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # Refuser les paquets de source routing net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 # Ne pas accepter les ICMP de type redirect net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 # Loguer les paquets ayant des IPs anormales net.ipv4.conf.all.log_martians = 1 # RFC 1337 net.ipv4.tcp_rfc1337 = 1 # Ignorer les réponses non conformes à la RFC 1122 net.ipv4.icmp_ignore_bogus_error_responses = 1 # Augmenter la plage pour les ports éphémères net.ipv4.ip_local_port_range = 32768 65535 # Utiliser les SYN cookies net.ipv4.tcp_syncookies = 1 # Désactiver le support des "router solicitations" net.ipv6.conf.all.router_solicitations = 0 net.ipv6.conf.default.router_solicitations = 0 # Ne pas accepter les "router preferences" par "router advertisements" net.ipv6.conf.all.accept_ra_rtr_pref = 0 net.ipv6.conf.default.accept_ra_rtr_pref = 0 # Pas de configuration auto des prefix par "router advertisements" net.ipv6.conf.all.accept_ra_pinfo = 0 net.ipv6.conf.default.accept_ra_pinfo = 0 # Pas d'apprentissage du routeur par défaut par "router advertisements" net.ipv6.conf.all.accept_ra_defrtr = 0 net.ipv6.conf.default.accept_ra_defrtr = 0 # Pas de configuration auto des adresses à partir des "router advertisements " net.ipv6.conf.all.autoconf = 0 net.ipv6.conf.default.autoconf = 0 # Ne pas accepter les ICMP de type redirect net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0 # Refuser les packets de source routing net.ipv6.conf.all.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0 # Nombre maximal d'adresses autoconfigurées par interface net.ipv6.conf.all.max_addresses = 1 net.ipv6.conf.default.max_addresses = 1