SYN Cookies em um servidor de rede local - Ok / aconselhável desativar?

1

Estamos procurando ajustar nossa pilha de tux linux em uma de nossas caixas de lan.

Estávamos nos perguntando se é recomendável desativar os cookies SYN em um servidor que não tenha nenhum tipo de acesso externo (por exemplo: "internet").

Está certo desativar os cookies syn em um servidor somente da LAN via net.ipv4.tcp_syncookies ?

    
por anonymous-one 26.06.2012 / 09:49

2 respostas

4

Os cookies SYN estão desativados por padrão. Essa deve ser uma indicação razoável do que você deve fazer, sem conhecimento específico em contrário. Mais especificamente, tcp (7) diz :

The syncookies feature attempts to protect a socket from a SYN flood attack. This should be used as a last resort, if at all. This is a violation of the TCP protocol, and conflicts with other areas of TCP such as TCP extensions. It can cause problems for clients and relays. It is not recommended as a tuning mechanism for heavily loaded servers to help with overloaded or misconfigured conditions.

    
por 26.06.2012 / 10:49
1

Não tenho certeza se você está fazendo o caminho certo.

Se você tiver alguma necessidade ou alguns problemas (então diga :) então ajuste a pilha tcp caso contrário, deixe-a como está. Por que você desativa os syncookies? Qual é o benefício que você espera?

    
por 26.06.2012 / 10:29