/etc/ufw/sysctl.conf のコメント行の和訳。
#Configuration file for setting network variables
/etc/sysctl.conf を上書きする。
/etc/sysctl.conf を使用する場合、
/etc/default/ufw の IPT_SYSCTL を調整すること。
ホストのインターフェイスへ許可する通信パケット
net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1
net/ipv6/conf/all/forwarding=1
送信元アドレスの検証を全インターフェイスで有効にし、なりすまし攻撃を防止する。
net/ipv4/conf/default/rp_filter=1
net/ipv4/conf/all/rp_filter=1
IP ソースルートパケットを受信しない。(この端末はルーターではない)
net/ipv4/conf/default/accept_source_route=0
net/ipv4/conf/all/accept_source_route=0
net/ipv6/conf/default/accept_source_route=0
net/ipv6/conf/all/accept_source_route=0
ICMP リダイレクトを無効化する。
ICMP リダイレクトは稀に MITM (man-in-the-middle) 攻撃に使用されることがある。
ICMP の無効化は正当な通信を混乱させることがある。
net/ipv4/conf/default/accept_redirects=0
net/ipv4/conf/all/accept_redirects=0
net/ipv6/conf/default/accept_redirects=0
net/ipv6/conf/all/accept_redirects=0
偽の ICMP エラーを無視する。
net/ipv4/icmp_echo_ignore_broadcasts=1
net/ipv4/icmp_ignore_bogus_error_responses=1
net/ipv4/icmp_echo_ignore_all=0
有り得ないパケットを記録しない。
net/ipv4/conf/default/log_martians=0
net/ipv4/conf/all/log_martians=0
- 0 = TCP Window Scaling を無効にする。
- 1 = TCP / IP SYN クッキーを有効にする。
net/ipv4/tcp_syncookies=0 | 1
net/ipv4/tcp_fin_timeout=30
net/ipv4/tcp_keepalive_intvl=1800
通常 tcp_sack の許可は OK になっている。
しかし OpenBSD 3.8 RELEASE や
初期の pf ファイアウォールへ接続する場合は 0 を指定すること。
net/ipv4/tcp_sack=0 | 1
ipv6 自動構成をオフにする場合はコメントを解除する。
net/ipv6/conf/default/autoconf=0
net/ipv6/conf/all/autoconf=0
ipv6 privacy addressing を有効にする場合はコメントを解除する。
net/ipv6/conf/default/use_tempaddr=2
net/ipv6/conf/all/use_tempaddr=2