私たちは、LANボックスの1つでLinuxのTCPスタックを調整することを検討しています。
外部(「インターネット」など)アクセスがないサーバーでSYNCookieを無効にしても問題ないかどうか疑問に思っていました。
net.ipv4.tcp_syncookies
を介してLAN専用サーバーでsyncookieを無効にしても大丈夫ですか?
SYNクッキーはデフォルトで無効になっています。それは、反対の特定の知識がない限り、あなたが何をすべきかを合理的に示しているはずです。より具体的には、 tcp
(7)は言う :
Syncookies機能は、SYNフラッド攻撃からソケットを保護しようとします。仮にあったとしても、これは最後の手段として使用する必要があります。これはTCPプロトコルの違反であり、TCP拡張機能などのTCPの他の領域と競合します。クライアントとリレーに問題を引き起こします。負荷の高いサーバーのチューニングメカニズムとして、過負荷または設定ミスの状態を支援することはお勧めしません。
あなたがそれを正しい方法でやっているかどうかはわかりません。
いくつかの必要性またはいくつかの問題がある場合(それからそれを言う:)、それ以外の場合はtcpスタックを微調整します。なぜsyncookiesを無効にするのですか?期待しているメリットは何ですか?