linux tcp设置 linux查看tcp连接
各位老铁们好,相信很多人对linux tcp设置都不是特别的了解,因此呢,今天就来为大家分享下关于linux tcp设置以及linux查看tcp连接的问题知识,还望可以帮助大家,解决大家的一些困惑,下面一起来看看吧!
linux配置防火墙详细步骤
通过本教程操作,请确认您能使用linux本机。如果您使用的是ssh远程,而又不能直接操作本机,那么建议您慎重,慎重,再慎重!
我们来配置一个filter表的防火墙.
(1)查看本机关于IPTABLES的设置情况
复制代码
代码如下:
[root@tp~]# iptables-L-n
Chain INPUT(policy ACCEPT)
target prot opt source destination/ppChain FORWARD(policy ACCEPT)
target prot opt source destination/ppChain OUTPUT(policy ACCEPT)
target prot opt source destination/ppChain RH-Firewall-1-INPUT(0 references)
target prot opt source destination
ACCEPT all-- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp-- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp-- 0.0.0.0/0 0.0.0.0/0
ACCEPTah--0.0.0.0/00.0.0.0/0
ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353
ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631
ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHED
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25
REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
复制代码
代码如下:
[root@tp~]# iptables-L-n
Chain INPUT(policy ACCEPT)
target prot opt source destination/ppChain FORWARD(policy ACCEPT)
target prot opt source destination/ppChain OUTPUT(policy ACCEPT)
target prot opt source destination
什么规则都没有.
(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
复制代码
代码如下:
[root@tp~]# iptables-F清除预设表filter中的所有规则链的规则
[root@tp~]# iptables-X清除预设表filter中使用者自定链中的规则
我们在来看一下
复制代码
代码如下:
[root@tp~]# iptables-L-n
Chain INPUT(policy ACCEPT)
target prot opt source destination/ppChain FORWARD(policy ACCEPT)
target prot opt source destination/ppChain OUTPUT(policy ACCEPT)
target prot opt source destination
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
复制代码
代码如下:
[root@tp~]#/etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
复制代码
代码如下:
[root@tp~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
复制代码
代码如下:
[root@tp~]# iptables-P INPUT DROP
[root@tp~]# iptables-P OUTPUT ACCEPT
[root@tp~]# iptables-P FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
怎么办,去本机操作呗!
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
复制代码
代码如下:
[root@tp~]# iptables-A INPUT-p tcp--dport 22-j ACCEPT
[root@tp~]# iptables-A OUTPUT-p tcp--sport 22-j ACCEPT
(注:这个规则,如果你把OUTPUT设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
复制代码
代码如下:
[root@tp~]# iptables-A OUTPUT-p tcp--sport 80-j ACCEPT
,其他同理.
如果做了WEB服务器,开启80端口.
复制代码
代码如下:
[root@tp~]# iptables-A INPUT-p tcp--dport 80-j ACCEPT
如果做了邮件服务器,开启25,110端口.
复制代码
代码如下:
[root@tp~]# iptables-A INPUT-p tcp--dport 110-j ACCEPT
[root@tp~]# iptables-A INPUT-p tcp--dport 25-j ACCEPT
如果做了FTP服务器,开启21端口
复制代码
代码如下:
[root@tp~]# iptables-A INPUT-p tcp--dport 21-j ACCEPT
[root@tp~]# iptables-A INPUT-p tcp--dport 21-j ACCEPT
如果做了DNS服务器,开启53端口
复制代码
代码如下:
[root@tp~]# iptables-A INPUT-p tcp--dport 53-j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,
复制代码
代码如下:
[root@tp~]# iptables-A OUTPUT-p icmp-j ACCEPT(OUTPUT设置成DROP的话)
[root@tp~]# iptables-A INPUT-p icmp-j ACCEPT(INPUT设置成DROP的话)
允许loopback!(不然会导致DNS无法正常关闭等问题)
复制代码
代码如下:
IPTABLES-A INPUT-i lo-p all-j ACCEPT(如果是INPUT DROP)
IPTABLES-A OUTPUT-o lo-p all-j ACCEPT(如果是OUTPUT DROP)
下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.
减少不安全的端口连接
复制代码
代码如下:
[root@tp~]# iptables-A OUTPUT-p tcp--sport 31337-j DROP
[root@tp~]# iptables-A OUTPUT-p tcp--dport 31337-j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.
当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加
允许SSH登陆一样.照着写就行了.
下面写一下更加细致的规则,就是限制到某台机器
如:我们只允许192.168.0.3的机器进行SSH连接
复制代码
代码如下:
[root@tp~]# iptables-A INPUT-s 192.168.0.3-p tcp--dport 22-j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.0.0/24表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把/etc/sysconfig/iptables里的这一行删了.
-A INPUT-p tcp-m tcp--dport 22-j ACCEPT因为它表示所有地址都可以登陆.
或采用命令方式:
复制代码
代码如下:
[root@tp~]# iptables-D INPUT-p tcp--dport 22-j ACCEPT
然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.
复制代码
代码如下:
[root@tp~]#/etc/rc.d/init.d/iptables save
这样写!192.168.0.3表示除了192.168.0.3的ip地址
其他的规则连接也一样这么设置.
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
复制代码
代码如下:
[root@tp~]# iptables-A FORWARD-i eth0-o eth1-m state--state RELATED,ESTABLISHED-j ACCEPT
[root@tp~]# iptables-A FORWARD-i eth1-o eh0-j ACCEPT
丢弃坏的TCP包
复制代码
代码如下:
[root@tp~]#iptables-A FORWARD-p TCP!--syn-m state--state NEW-j DROP
处理IP碎片数量,防止攻击,允许每秒100个
复制代码
代码如下:
[root@tp~]#iptables-A FORWARD-f-m limit--limit 100/s--limit-burst 100-j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
复制代码
代码如下:
[root@tp~]#iptables-A FORWARD-p icmp-m limit--limit 1/s--limit-burst 10-j ACCEPT
我在前面只所以允许ICMP包通过,就是因为我在这里有限制.
二,配置一个NAT表放火墙
1,查看本机关于NAT的设置情况
复制代码
代码如下:
[root@tp rc.d]# iptables-t nat-L
Chain PREROUTING(policy ACCEPT)
target prot opt source destination
Chain POSTROUTING(policy ACCEPT)
target prot opt source destination
SNAT all-- 192.168.0.0/24 anywhere to:211.101.46.235
Chain OUTPUT(policy ACCEPT)
target prot opt source destination
我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章
当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
如果你想清除,命令是
复制代码
代码如下:
[root@tp~]# iptables-F-t nat
[root@tp~]# iptables-X-t nat
[root@tp~]# iptables-Z-t nat
2,添加规则
添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),
添加规则,我们只添加DROP链.因为默认链全是ACCEPT.
防止外网用内网IP欺骗
复制代码
代码如下:
[root@tp sysconfig]# iptables-t nat-A PREROUTING-i eth0-s 10.0.0.0/8-j DROP
[root@tp sysconfig]# iptables-t nat-A PREROUTING-i eth0-s 172.16.0.0/12-j DROP
[root@tp sysconfig]# iptables-t nat-A PREROUTING-i eth0-s 192.168.0.0/16-j DROP
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
例:
禁止与211.101.46.253的所有连接
复制代码
代码如下:
[root@tp~]# iptables-t nat-A PREROUTING-d 211.101.46.253-j DROP
禁用FTP(21)端口
复制代码
代码如下:
[root@tp~]# iptables-t nat-A PREROUTING-p tcp--dport 21-j DROP
这样写范围太大了,我们可以更精确的定义.
复制代码
代码如下:
[root@tp~]# iptables-t nat-A PREROUTING-p tcp--dport 21-d 211.101.46.253-j DROP
这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
最后:
drop非法连接
复制代码
代码如下:
[root@tp~]# iptables-A INPUT-m state--state INVALID-j DROP
[root@tp~]# iptables-A OUTPUT-m state--state INVALID-j DROP
[root@tp~]# iptables-A FORWARD-m state--state INVALID-j DROP
允许所有已经建立的和相关的连接
复制代码
代码如下:
[root@tp~]# iptables-A INPUT-m state--state ESTABLISHED,RELATED-j ACCEPT
[root@tp~]# iptables-A OUTPUT-m state--state ESTABLISHED,RELATED-j ACCEPT
[root@tp~]#/etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
复制代码
代码如下:
[root@tp~]# service iptables restart
别忘了保存,不行就写一部保存一次.你可以一边保存,一边做实验,看看是否达到你的要求,
上面的所有规则我都试过,没有问题
linux tcp 通过setsockopt设置接收缓存区有什么用
Socket的send函数在执行时报EAGAIN的错误
当客户通过Socket提供的send函数发送大的数据包时,就可能返回一个EGGAIN的错误。该错误产生的原因是由于send函数中的size变量大小超过了tcp_sendspace的值。tcp_sendspace定义了应用在调用send之前能够在kernel中缓存的数据量。当应用程序在socket中设置了O_NDELAY或者O_NONBLOCK属性后,如果发送缓存被占满,send就会返回EAGAIN的错误。
为了消除该错误,有三种方法可以选择:
1.调大tcp_sendspace,使之大于send中的size参数
---no-p-o tcp_sendspace=65536
2.在调用send前,在setsockopt函数中为SNDBUF设置更大的值
3.使用write替代send,因为write没有设置O_NDELAY或者O_NONBLOCK
1. tcp收发缓冲区默认值
[root@qljt core]# cat/proc/sys/net/ipv4/tcp_rmem
4096 87380 4161536
87380:tcp接收缓冲区的默认值
[root@qljt core]# cat/proc/sys/net/ipv4/tcp_wmem
4096 16384 4161536
16384: tcp发送缓冲区的默认值
2. tcp或udp收发缓冲区最大值
[root@qljt core]# cat/proc/sys/net/core/rmem_max
131071
131071:tcp或 udp接收缓冲区最大可设置值的一半。
也就是说调用 setsockopt(s, SOL_SOCKET, SO_RCVBUF,&rcv_size,&optlen);时rcv_size如果超过 131071,那么
getsockopt(s, SOL_SOCKET, SO_RCVBUF,&rcv_size,&optlen);去到的值就等于 131071* 2= 262142
[root@qljt core]# cat/proc/sys/net/core/wmem_max
131071
131071:tcp或 udp发送缓冲区最大可设置值得一半。
跟上面同一个道理
3. udp收发缓冲区默认值
[root@qljt core]# cat/proc/sys/net/core/rmem_default
111616:udp接收缓冲区的默认值
[root@qljt core]# cat/proc/sys/net/core/wmem_default
111616
111616:udp发送缓冲区的默认值
. tcp或udp收发缓冲区最小值
tcp或udp接收缓冲区的最小值为 256 bytes,由内核的宏决定;
tcp或udp发送缓冲区的最小值为 2048 bytes,由内核的宏决定
setsockopt设置socket状态
1.closesocket(一般不会立即关闭而经历TIME_WAIT的过程)后想继续重用该socket:
BOOL bReuseaddr=TRUE;
setsockopt(s,SOL_SOCKET,SO_REUSEADDR,(const char*)&bReuseaddr,sizeof(BOOL));
2.如果要已经处于连接状态的soket在调用closesocket后强制关闭,不经历TIME_WAIT的过程:
BOOL bDontLinger= FALSE;
setsockopt(s,SOL_SOCKET,SO_DONTLINGER,(const char*)&bDontLinger,sizeof(BOOL));
3.在send(),recv()过程中有时由于网络状况等原因,发收不能预期进行,而设置收发时限:
int nNetTimeout=1000;//1秒
//发送时限
setsockopt(socket,SOL_S0CKET,SO_SNDTIMEO,(char*)&nNetTimeout,sizeof(int));
//接收时限
setsockopt(socket,SOL_S0CKET,SO_RCVTIMEO,(char*)&nNetTimeout,sizeof(int));
4.在send()的时候,返回的是实际发送出去的字节(同步)或发送到socket缓冲区的字节(异步);系统默认的状态发送和接收一次为8688字节(约为8.5K);在实际的过程中发送数据
和接收数据量比较大,可以设置socket缓冲区,而避免了send(),recv()不断的循环收发:
//接收缓冲区
int nRecvBuf=32*1024;//设置为32K
setsockopt(s,SOL_SOCKET,SO_RCVBUF,(const char*)&nRecvBuf,sizeof(int));
//发送缓冲区
int nSendBuf=32*1024;//设置为32K
setsockopt(s,SOL_SOCKET,SO_SNDBUF,(const char*)&nSendBuf,sizeof(int));
5.如果在发送数据的时,希望不经历由系统缓冲区到socket缓冲区的拷贝而影响程序的性能:
int nZero=0;
setsockopt(socket,SOL_S0CKET,SO_SNDBUF,(char*)&nZero,sizeof(nZero));
6.同上在recv()完成上述功能(默认情况是将socket缓冲区的内容拷贝到系统缓冲区):
int nZero=0;
setsockopt(socket,SOL_S0CKET,SO_RCVBUF,(char*)&nZero,sizeof(int));
7.一般在发送UDP数据报的时候,希望该socket发送的数据具有广播特性:
BOOL bBroadcast=TRUE;
setsockopt(s,SOL_SOCKET,SO_BROADCAST,(const char*)&bBroadcast,sizeof(BOOL));
8.在client连接服务器过程中,如果处于非阻塞模式下的socket在connect()的过程中可以设置connect()延时,直到accpet()被呼叫(本函数设置只有在非阻塞的过程中有显著的
作用,在阻塞的函数调用中作用不大)
BOOL bConditionalAccept=TRUE;
setsockopt(s,SOL_SOCKET,SO_CONDITIONAL_ACCEPT,(const char*)&bConditionalAccept,sizeof(BOOL));
9.如果在发送数据的过程中(send()没有完成,还有数据没发送)而调用了closesocket(),以前我们一般采取的措施是"从容关闭"shutdown(s,SD_BOTH),但是数据是肯定丢失了,如何设置让程序满足具体应用的要求(即让没发完的数据发送出去后在关闭socket)?
struct linger{
u_short l_onoff;
u_short l_linger;
};
linger m_sLinger;
m_sLinger.l_onoff=1;//(在closesocket()调用,但是还有数据没发送完毕的时候容许逗留)
//如果m_sLinger.l_onoff=0;则功能和2.)作用相同;
m_sLinger.l_linger=5;//(容许逗留的时间为5秒)
setsockopt(s,SOL_SOCKET,SO_LINGER,(const char*)&m_sLinger,sizeof(linger));
设置套接口的选项。
#include<winsock.h>
int PASCAL FAR setsockopt( SOCKET s, int level, int optname,
const char FAR* optval, int optlen);
s:标识一个套接口的描述字。
level:选项定义的层次;目前仅支持SOL_SOCKET和IPPROTO_TCP层次。
optname:需设置的选项。
optval:指针,指向存放选项值的缓冲区。
optlen:optval缓冲区的长度。
注释:
setsockopt()函数用于任意类型、任意状态套接口的设置选项值。尽管在不同协议层上存在选项,但本函数仅定义了最高的“套接口”层次上的选项。选项影响套接口的操作,诸如加急数据是否在普通数据流中接收,广播数据是否可以从套接口发送等等。
有两种套接口的选项:一种是布尔型选项,允许或禁止一种特性;另一种是整形或结构选项。允许一个布尔型选项,则将optval指向非零整形数;禁止一个选项optval指向一个等于零的整形数。对于布尔型选项,optlen应等于sizeof(int);对其他选项,optval指向包含所需选项的整形数或结构,而optlen则为整形数或结构的长度。SO_LINGER选项用于控制下述情况的行动:套接口上有排队的待发送数据,且 closesocket()调用已执行。参见closesocket()函数中关于SO_LINGER选项对closesocket()语义的影响。应用程序通过创建一个linger结构来设置相应的操作特性:
struct linger{
int l_onoff;
int l_linger;
};
为了允许SO_LINGER,应用程序应将l_onoff设为非零,将l_linger设为零或需要的超时值(以秒为单位),然后调用setsockopt()。为了允许SO_DONTLINGER(亦即禁止SO_LINGER),l_onoff应设为零,然后调用setsockopt()。
缺省条件下,一个套接口不能与一个已在使用中的本地地址捆绑(参见bind())。但有时会需要“重用”地址。因为每一个连接都由本地地址和远端地址的组合唯一确定,所以只要远端地址不同,两个套接口与一个地址捆绑并无大碍。为了通知WINDOWS套接口实现不要因为一个地址已被一个套接口使用就不让它与另一个套接口捆绑,应用程序可在bind()调用前先设置SO_REUSEADDR选项。请注意仅在bind()调用时该选项才被解释;故此无需(但也无害)将一个不会共用地址的套接口设置该选项,或者在bind()对这个或其他套接口无影响情况下设置或清除这一选项。
一个应用程序可以通过打开SO_KEEPALIVE选项,使得WINDOWS套接口实现在TCP连接情况下允许使用“保持活动”包。一个WINDOWS套接口实现并不是必需支持“保持活动”,但是如果支持的话,具体的语义将与实现有关,应遵守RFC1122“Internet主机要求-通讯层”中第 4.2.3.6节的规范。如果有关连接由于“保持活动”而失效,则进行中的任何对该套接口的调用都将以WSAENETRESET错误返回,后续的任何调用将以WSAENOTCONN错误返回。
TCP_NODELAY选项禁止Nagle算法。Nagle算法通过将未确认的数据存入缓冲区直到蓄足一个包一起发送的方法,来减少主机发送的零碎小数据包的数目。但对于某些应用来说,这种算法将降低系统性能。所以TCP_NODELAY可用来将此算法关闭。应用程序编写者只有在确切了解它的效果并确实需要的情况下,才设置TCP_NODELAY选项,因为设置后对网络性能有明显的负面影响。TCP_NODELAY是唯一使用IPPROTO_TCP层的选项,其他所有选项都使用SOL_SOCKET层。
如果设置了SO_DEBUG选项,WINDOWS套接口供应商被鼓励(但不是必需)提供输出相应的调试信息。但产生调试信息的机制以及调试信息的形式已超出本规范的讨论范围。
setsockopt()支持下列选项。其中“类型”表明optval所指数据的类型。
选项类型意义
SO_BROADCAST BOOL允许套接口传送广播信息。
SO_DEBUG BOOL记录调试信息。
SO_DONTLINER BOOL不要因为数据未发送就阻塞关闭操作。设置本选项相当于将SO_LINGER的l_onoff元素置为零。
SO_DONTROUTE BOOL禁止选径;直接传送。
SO_KEEPALIVE BOOL发送“保持活动”包。
SO_LINGER struct linger FAR*如关闭时有未发送数据,则逗留。
SO_OOBINLINE BOOL在常规数据流中接收带外数据。
SO_RCVBUF int为接收确定缓冲区大小。
SO_REUSEADDR BOOL允许套接口和一个已在使用中的地址捆绑(参见bind())。
SO_SNDBUF int指定发送缓冲区大小。
TCP_NODELAY BOOL禁止发送合并的Nagle算法。
setsockopt()不支持的BSD选项有:
选项名类型意义
SO_ACCEPTCONN BOOL套接口在监听。
SO_ERROR int获取错误状态并清除。
SO_RCVLOWAT int接收低级水印。
SO_RCVTIMEO int接收超时。
SO_SNDLOWAT int发送低级水印。
SO_SNDTIMEO int发送超时。
SO_TYPE int套接口类型。
IP_OPTIONS在IP头中设置选项。
返回值:
若无错误发生,setsockopt()返回0。否则的话,返回SOCKET_ERROR错误,应用程序可通过WSAGetLastError()获取相应错误代码。
错误代码:
WSANOTINITIALISED:在使用此API之前应首先成功地调用WSAStartup()。
WSAENETDOWN:WINDOWS套接口实现检测到网络子系统失效。
WSAEFAULT:optval不是进程地址空间中的一个有效部分。
WSAEINPROGRESS:一个阻塞的WINDOWS套接口调用正在运行中。
WSAEINVAL:level值非法,或optval中的信息非法。
WSAENETRESET:当SO_KEEPALIVE设置后连接超时。
WSAENOPROTOOPT:未知或不支持选项。其中,SOCK_STREAM类型的套接口不支持SO_BROADCAST选项,SOCK_DGRAM类型的套接口不支持SO_DONTLINGER、SO_KEEPALIVE、SO_LINGER和SO_OOBINLINE选项。
WSAENOTCONN:当设置SO_KEEPALIVE后连接被复位。
WSAENOTSOCK:描述字不是一个套接口。
Linux TCP内核参数设置与调优(详细)!
/Proc/sys/net/ipv4/目录中存放着TCP参数的文件,用于添加网络设置。其中的许多设置能防止系统遭受攻击,或配置系统路由功能。
例如,TCP_SYN_RETRIES参数控制客户端发起SYN连接的重传次数。修改此参数值,如将net.ipv4.tcp_syn_retries设置为2,测试后,通过SSH连接不存在的主机,可观察到系统重传了2个数据包。
TCP_WINDOW_SCALING参数决定是否启用窗口扩大因子选项。启用此选项可提高网络数据传输效率。
Net.ipv4.tcp_sack参数控制是否启用选择确认(Selective Acknowledgement,SACK)选项,这可以提高数据传输的灵活性和效率。
修改内核参数的目的是优化系统性能和安全性。了解参数的详细配置信息,请参考Linux内核文档。
/Proc/sys/net/core/目录下包含设置,用于控制Linux内核与网络层的交互,决定网络动作时内核的响应方式。
网络相关参数如eth0的MAC地址、速率(speed)、MTU等信息,可以在/sys/class/net/对应网卡目录中查看,此路径提供深入的网络参数细节。
