原文链接： http://www.bsdlover.cn/security/2007/1216/article_8.html ################### 所有rfc相关的选项都是默认启用的，因此网上的那些还自己写rfc支持的都可以扔掉了:) ############################### net.inet.ip.sourceroute=0 net.inet.ip.accept_sourceroute=0 ############################# 通过源路由，攻击者可以尝试到达内部IP地址 --包括RFC1918中的地址，所以 不接受源路由信息包可以防止你的内部网络被...

我贴一下自己的sysctl.conf，应付一般的worm没问题，但对特殊的DOS，没实验过，请参考： net.inet.tcp.sendspace=65536 net.inet.tcp.recvspace=65536 kern.ipc.somaxconn=4096 kern.ipc.maxsockbuf=2097152 net.inet.icmp.drop_redirect=1 net.inet.icmp.log_redirect=1 net.inet.ip.redirect=0 net.inet6.ip6.redirect=0 net.inet.icmp.icmplim=100 net.inet.tcp.always_keepalive=1 net.inet.tcp.delayed_ack=1 net...

优化主要参考了这里 在我们跑Web服务器的时候，大家可能都会一致认为使用Linux＋Mysql＋ apache ＋ php 整个开源的系统是比较好的选择，但是我个人认为这是不合理的，首先要根据你的应用来觉得你使用什么服务。假如你需要跑Oracle等大型应用的话，而且Oracle在Linux下是支持的比较好的，那么使用Linux是个好的选择，因为在 freebsd 下安装Oracle是个非常麻烦的事情。那么如果是跑普通的网站应用的话，我觉得使用 freebsd ＋Mysq...

有问题的： security.bsd.see_other_uids=0 net.inet.tcp.sendspace=65536 net.inet.tcp.recvspace=65536 #net.inet.udp.sendspace=65536 net.inet.udp.maxdgram=65536 net.local.stream.sendspace=65536 net.inet.tcp.rfc1323=1 #net.inet.tcp.rfc1644=1 net.inet.tcp.rfc3042=1 net.inet.tcp.rfc3390=1 kern.ipc.maxsockbuf=2097152 kern.maxfiles=65536 kern.maxfilesperproc=32768 net.inet.tcp.delayed_ack=0 net.inet.icmp.d...

# $freebsd: src/etc/sysctl.conf,v 1.8 2003/03/13 18:43:50 mux Exp $ # # This file is read when going to multi-user and its contents piped thru # ``sysctl'' to adjust kernel values. ``man 5 sysctl.conf'' for details. # Uncomment this to prevent users from seeing information about processes that # are being run under another UID. #security.bsd.see_other_uids=0 #不允许用户看见所有系统进程 net.inet...

freebsd pf 安装使用 freebsd下的pf 　　freebsd下的包过滤工具有IpfW，Ipf以及pf，它们各有特点。pf原本是OpenBSD下的包过滤工具，freebsd开发人员已经把pf移植到了freebsd上了。如果要在freebsd上使用pf，需如下操作： 1. 编译内核： 　　cd /usr/src/sys/i386/conf cp GENERIC LOULAN 编辑 LOULAN加入以下内容 device pf device pflog device pfsync options ALTQ options ALTQ_CBQ ...

freebsd下的pf 　　freebsd下的包过滤工具有IpfW，Ipf以及pf，它们各有特点。pf原本是OpenBSD下的包过滤工具，freebsd开发人员已经把pf移植到了freebsd上了。如果要在freebsd上使用pf，需如下操作： 1. 编译内核： 　　cd /usr/src/sys/i386/conf cp GENERIC LOULAN 编辑 LOULAN加入以下内容 device pf device pflog device pfsync options ALTQ options ALTQ_CBQ options ALTQ_R...

看OpenBSD下使用pf这条规则没有问题 pass in quick on $ext_if proto tcp from any to any port www flags S/SA synproxy state 在freebsd上就没法访问web pass in quick on $ext_if proto tcp from any to any port ssh flags S/SA synproxy state ssh也是。只要是synproxy就没法访问。 使用modulate或keep都可以。 在freebsd上需要设置什么么？

freebsd pf 中文FAQ pf：OpenBSD数据包过滤 王祥手机 张文通 翻译 唐 亮 本文版权与原文英文版保持完全一致，鉴于译者水平有限，错误之处难免，请读者自己认真鉴别。 ============================================================================== pf: OpenBSD 数据包过滤 ---------------...

sysctl 是一个用来在系统运作中查看及调整系统参数的工具。有的 sysctl 参数只是用来回报目前的系统状况，例如回报目前已开机时间、所使用的操作系统版本、核心名称等等；而有的可以让我们修改参数以调整系统运作的行为，例如网络暂存内存的大小、最大的上线人数等等。而这些可以调整的参数中必须在一开机系统执行其它程序前就设定好，有的可以在开机完后任意调整。 首先我们可以使用下列指令来查看目前所有的 sysctl 参数及其状况...