在Linux的發(fā)行版本中，都存在一個/proc/目錄，有的也稱它為Proc文件系統(tǒng)。在這個目錄中，包括了一些特殊的文件，不僅能用來反映內(nèi)核的現(xiàn)行狀態(tài)和查看硬件信息，而且，有些文件還允許用戶來修改其中的內(nèi)容，以調(diào)節(jié)內(nèi)核的現(xiàn)行工作狀態(tài)，例如/proc/sys/子目錄下的文件。

　　與/proc/目錄中其它目錄不相同的是，/proc/sys/目錄下的文件不僅能提供系統(tǒng)的有關(guān)信息，而且還允許用戶立即停止或開啟內(nèi)核的某些特性及功能。在/proc/sys/目錄中的/proc/sys/net/子目錄更是與網(wǎng)絡(luò)息息相關(guān)，我們可以通過設(shè)置此目錄下的某些文件來開啟與網(wǎng)絡(luò)應用相關(guān)的特殊功能，同時，也可以通過設(shè)置這個目錄下的某些文件來保護我們的網(wǎng)絡(luò)安全。因此，作為一名Linux下的網(wǎng)絡(luò)管理員，就很有必要詳細了解/proc/sys/net/目錄下文件的各種功能和設(shè)置方法，讓它能更好地為我們工作。

　　一、/proc/sys/net/目錄說明。

　　/proc/sys/net/目錄主要包括了許多網(wǎng)絡(luò)相關(guān)的主題，例如：appletalk/,ethernet/,ipv4/,ipx/,及ipv6/。通過改變這些目錄中的文件，網(wǎng)絡(luò)管理員能夠在系統(tǒng)運行時調(diào)整相關(guān)網(wǎng)絡(luò)參數(shù)。雖然在Linux中還有很多有關(guān)網(wǎng)絡(luò)的配置方法，但熟悉此目錄中的相關(guān)內(nèi)容對網(wǎng)絡(luò)應用是有很大的幫助的。

　　在/proc/sys/net/目錄下有兩個目錄，與現(xiàn)在的IPV4網(wǎng)絡(luò)的運行息息相關(guān)，調(diào)整這兩個目錄下的某些文件的參數(shù)，能為我們的網(wǎng)絡(luò)應用帶到意想不到的效果，這兩個目錄就是/proc/sys/net/core/目錄和/proc/sys/net/ipv4/目錄，下面筆者將會對這兩個目錄中的重要文件分別作一個詳細的說明。

　　1、/proc/sys/net/core/目錄。

　　此目錄中包括許多設(shè)置用來控制Linux內(nèi)核與網(wǎng)絡(luò)層的交互，即當網(wǎng)絡(luò)有什么動作時，內(nèi)核做出什么樣的相應反應。

　　在其中有以下的一些重要文件：

　　（1）、message_burst：設(shè)置每十秒寫入多少次請求警告；此設(shè)置可以用來防止DOS攻擊，缺省設(shè)置為50；

　　（2）、message_cost：設(shè)置每一個警告的度量值，缺省為5，當用來防止DOS攻擊時設(shè)置為0；

　　（3）、netdev_max_backlog：設(shè)置當個別接口接收包的速度快于內(nèi)核處理速度時允許的最大的包序列，缺省為300；

　　（4）、optmem_max:設(shè)置每個socket的最大補助緩存大小；

　　（5）、rmem_default：設(shè)置接收socket的缺省緩存大小（字節(jié)）；

　　（6）、rmem_max：設(shè)置接收socket的最大緩存大小（字節(jié)）；

　　（7）、wmem_default:設(shè)置發(fā)送的socket缺省緩存大小（字節(jié)）；

　　（8）、wmem_max:設(shè)置發(fā)送的socket最大緩存大小（字節(jié)）。

　　2、/proc/sys/net/ipv4/目錄。

　　此目錄中的內(nèi)容用來添加網(wǎng)絡(luò)設(shè)置，在其中的許多設(shè)置，可以用來阻止對系統(tǒng)的攻擊，或用來設(shè)置系統(tǒng)的路由功能。

　　其中有以下的這些重要的文件：

　　（1）、icmp_destunreach_rate、icmp_echoreply_rate、icmp_paramprob_rate、icmp_timeexeed_rate：設(shè)置發(fā)送和回應的最大icmp包的速率，最好不要為0；

　　（2）、icmp_echo_ignore_all和icmp_echo_ignore_broadcasts：設(shè)置內(nèi)核不應答icmp echo包，或指定的廣播，值為0是允許回應，值為1是禁止；

　　（3）、ip_default_ttl：設(shè)置IP包的缺省生存時間（TTL），增加它的值能減少系統(tǒng)開銷；

　　（4）、ip_forward：設(shè)置接口是否可以轉(zhuǎn)發(fā)包，缺省為0，設(shè)置為1時允許網(wǎng)絡(luò)進行包轉(zhuǎn)發(fā)；

　　（5）、ip_local_port_range：當本地需要端口時指定TCP或UDP端口范圍。第一數(shù)為低端口，第二個數(shù)為高端口；

　　（6）、tcp_syn_retries:提供限制在建立連接時重新發(fā)送回應的SYN包的次數(shù)；

　　（7）、tcp_retries1：設(shè)置回應連入重送的次數(shù)，缺省為3；

　　（8）、tcp_retries2:設(shè)置允許重送的TCP包的次數(shù)，缺省為15。

　　二、/proc/sys/net/目錄下文件的設(shè)置方法。

　　在了解了/proc/sys/net/core/目錄和/proc/sys/net/ipv4/目錄中一些重要文件的意義和作用后，下面說說如何設(shè)置這兩個目錄中的這些重要文件來為我們工作的。

　　讀者應該了解，在Linux系統(tǒng)中，要改變某種服務(wù)或設(shè)備的工作狀態(tài)和功能，主要是通過使用命令方式和直接修改它的配置文件方式來達到目的，對于這兩個目錄下的文件，我們也可以通過這兩種方式來修改這些文件內(nèi)容中的值，使它們按照我們的意圖工作。

　　在進行設(shè)置之前，應當注意的是，當你確定要修改某個文件的當前值時，一定要保證輸入的命令格式和值的內(nèi)容都是正確的，因為任何的錯誤設(shè)置都會引起內(nèi)核的不穩(wěn)定，如果你不小心造成了這種問題，你就不得不重新引導系統(tǒng)了。在下面的說明中，筆者會將注意的地方特別說明出來的。

　　首先來看看如何使用命令方式來修改這兩個目錄下文件的。我們可以通過echo和sysctl這兩個命令來修改這兩個目錄中的文件，