网络配置参数

• net.ipv4.ip_forward = 0：防止IP转发，将防火墙启用。
• net.ipv4.conf.default.rp_filter = 1：启用反回路过滤。
• net.ipv4.conf.default.accept_source_route = 0：关闭源路由接受。
• kernel.sysrq = 0：禁止使用/sysrq特殊调试命令，提升安全性。
• kernel.core_uses_pid = 1：允许主要进程使用核心文件。
• net.ipv4.tcp_syncookies = 1：启用TCP同步 碟，缓解 SYN 攻击。
• kernel.msgmnb = 65536：设置消息缓冲区大小。
• kernel.msgmax = 65536：设置消息最大大小。
• kernel.shmmax = 68719476736：设置共享内存最大值。
• kernel.shmall = 4294967296：设置共享内存页大小。
• fs.file-max=6815744：设置文件描述符的最大值。

TCP配置参数

• net.ipv4.tcp_syn_retries = 1：内核放弃建立连接之前发送SYN包的次数，默认为1。
• net.ipv4.tcp_max_tw_buckets = 200000：设置TIME_WAIT状态的连接上限。
• net.core.somaxconn = 655350：设置单个接口下最长等待连接数。
• net.ipv4.tcp_max_syn_backlog = 20480：处理SYN队列溢出时的策略。
• net.core.netdev_max_backlog = 262144：网卡设备的请求队列最大长度。

端口管理

• net.ipv4.ip_local_port_range=1024 65000：限制本地可用端口范围。
• net.ipv4.ip_local_reserved_ports = 8080,8938,8936,8943：预留特定端口避免占用。

TCP参数优化

• net.ipv4.tcp_tw_reuse = 1：允许回收TIME_WAIT状态的连接，提高资源利用率。
• net.ipv4.tcp_fin_timeout = 1：设置FIN_WAI状态连接的回收超时。
• net.ipv4.tcp_tw_recycle = 1：在发生SYN等待队列溢出时启用cookies防护。
• net.ipv4.tcp_keepalive_time = 30：设置保活时间，确认连接可靠性。

内核容量管理

• vm.max_map_count=655360：设置 mmap 存储单元的最大数量。
• vm.overcommit_memory = 1：允许过commit内存，灵活分配资源。

防火墙和防护

• net.netfilter.nf_conntrack_max = 2621440：设置连接跟踪的最大值，防止资源耗尽。