Linux這幾年發(fā)展迅速，推出了很多版本。讓我們眼花繚亂，不過在每個(gè)Linux的發(fā)行版本中，都存在一個(gè)/proc/目錄，這就是Linux系 統(tǒng)目錄。有的也稱它為Proc文件系統(tǒng)。對(duì)于那些網(wǎng)絡(luò)管理員必須要掌握Linux系統(tǒng)目錄。

在這個(gè)目錄中，包括了一些特殊的文件，不僅能用來反映內(nèi)核的現(xiàn)行狀態(tài)和查看硬件信息，而且，有些文件還允許用戶來修改其中的內(nèi)容，以調(diào)節(jié)內(nèi)核的現(xiàn)行 工作狀態(tài)，例如/proc/sys/子目錄下的文件。

與/proc/目錄中其它目錄不相同的是，/proc/sys/目錄下的文件不僅能提供系統(tǒng)的有關(guān)信息，而且還允許用戶立即停止或開啟內(nèi)核的某些特 性及功能。在/proc/sys/目錄中的/proc/sys/net/子目錄更是與網(wǎng)絡(luò)息息相關(guān)，我們可以通過設(shè)置此目錄下的某些文件來開啟與網(wǎng)絡(luò)應(yīng)用 相關(guān)的特殊功能，同時(shí)，也可以通過設(shè)置這個(gè)目錄下的某些文件來保護(hù)我們的網(wǎng)絡(luò)安全。因此，作為一名Linux下的網(wǎng)絡(luò)管理員，就很有必要詳細(xì)了解 /proc/sys/net/目錄下文件的各種功能和設(shè)置方法，讓它能更好地為我們工作。

一、/proc/sys/net/目錄說明。

/proc/sys/net/目錄主要包括了許多網(wǎng)絡(luò)相關(guān)的主題，例如：appletalk/,ethernet/,ipv4/,ipx/,及 ipv6/。通過改變這些目錄中的文件，網(wǎng)絡(luò)管理員能夠在系統(tǒng)運(yùn)行時(shí)調(diào)整相關(guān)網(wǎng)絡(luò)參數(shù)。雖然在Linux中還有很多有關(guān)網(wǎng)絡(luò)的配置方法，但熟悉此目錄中的 相關(guān)內(nèi)容對(duì)網(wǎng)絡(luò)應(yīng)用是有很大的幫助的。

在/proc/sys/net/目錄下有兩個(gè)目錄，與現(xiàn)在的IPV4網(wǎng)絡(luò)的運(yùn)行息息相關(guān)，調(diào)整這兩個(gè)目錄下的某些文件的參數(shù)，能為我們的網(wǎng)絡(luò)應(yīng)用帶 到意想不到的效果，這兩個(gè)目錄就是/proc/sys/net/core/目錄和/proc/sys/net/ipv4/目錄，下面筆者將會(huì)對(duì)這兩個(gè)目錄 中的重要文件分別作一個(gè)詳細(xì)的說明。

1、/proc/sys/net/core/目錄。

此目錄中包括許多設(shè)置用來控制Linux內(nèi)核與網(wǎng)絡(luò)層的交互，即當(dāng)網(wǎng)絡(luò)有什么動(dòng)作時(shí)，內(nèi)核做出什么樣的相應(yīng)反應(yīng)。

在其中有以下的一些重要文件：

（1）、message_burst：設(shè)置每十秒寫入多少次請(qǐng)求警告；此設(shè)置可以用來防止DOS攻擊，缺省設(shè)置為50；

（2）、message_cost：設(shè)置每一個(gè)警告的度量值，缺省為5，當(dāng)用來防止DOS攻擊時(shí)設(shè)置為0；

（3）、netdev_max_backlog：設(shè)置當(dāng)個(gè)別接口接收包的速度快于內(nèi)核處理速度時(shí)允許的最大的包序列，缺省為300；

（4）、optmem_max:設(shè)置每個(gè)socket的最大補(bǔ)助緩存大??；

（5）、rmem_default：設(shè)置接收socket的缺省緩存大?。ㄗ止?jié)）；

（6）、rmem_max：設(shè)置接收socket的最大緩存大小（字節(jié)）；

（7）、wmem_default:設(shè)置發(fā)送的socket缺省緩存大小（字節(jié)）；

（8）、wmem_max:設(shè)置發(fā)送的socket最大緩存大小（字節(jié)）。

2、/proc/sys/net/ipv4/目錄。

此目錄中的內(nèi)容用來添加網(wǎng)絡(luò)設(shè)置，在其中的許多設(shè)置，可以用來阻止對(duì)系統(tǒng)的攻擊，或用來設(shè)置系統(tǒng)的路由功能。

其中有以下的這些重要的文件：

（1）、icmp_destunreach_rate、icmp_echoreply_rate、icmp_paramprob_rate、 icmp_timeexeed_rate：設(shè)置發(fā)送和回應(yīng)的最大icmp包的速率，最好不要為0；

（2）、icmp_echo_ignore_all和icmp_echo_ignore_broadcasts：設(shè)置內(nèi)核不應(yīng)答icmp echo包，或指定的廣播，值為0是允許回應(yīng)，值為1是禁止；

（3）、ip_default_ttl：設(shè)置IP包的缺省生存時(shí)間（TTL），增加它的值能減少系統(tǒng)開銷；

（4）、ip_forward：設(shè)置接口是否可以轉(zhuǎn)發(fā)包，缺省為0，設(shè)置為1時(shí)允許網(wǎng)絡(luò)進(jìn)行包轉(zhuǎn)發(fā)；

（5）、ip_local_port_range：當(dāng)本地需要端口時(shí)指定TCP或UDP端口范圍。第一數(shù)為低端口，第二個(gè)數(shù)為高端口；

（6）、tcp_syn_retries:提供限制在建立連接時(shí)重新發(fā)送回應(yīng)的SYN包的次數(shù)；

（7）、tcp_retries1：設(shè)置回應(yīng)連入重送的次數(shù)，缺省為3；

（8）、tcp_retries2:設(shè)置允許重送的TCP包的次數(shù)，缺省為15。

二、/proc/sys/net/目錄下文件的設(shè)置方法。

在了解了/proc/sys/net/core/目錄和/proc/sys/net/ipv4/目錄中一些重要文件的意義和作用后，下面說說如何設(shè) 置這兩個(gè)目錄中的這些重要文件來為我們工作的。

讀者應(yīng)該了解，在Linux系統(tǒng)中，要改變某種服務(wù)或設(shè)備的工作狀態(tài)和功能，主要是通過使用命令方式和直接修改它的配置文件方式來達(dá)到目的，對(duì)于這 兩個(gè)目錄下的文件，我們也可以通過這兩種方式來修改這些文件內(nèi)容中的值，使它們按照我們的意圖工作。

在進(jìn)行設(shè)置之前，應(yīng)當(dāng)注意的是，當(dāng)你確定要修改某個(gè)文件的當(dāng)前值時(shí)，一定要保證輸入的命令格式和值的內(nèi)容都是正確的，因?yàn)槿魏蔚腻e(cuò)誤設(shè)置都會(huì)引起內(nèi) 核的不穩(wěn)定，如果你不小心造成了這種問題，你就不得不重新引導(dǎo)系統(tǒng)了。在下面的說明中，筆者會(huì)將注意的地方特別說明出來的。

首先來看看如何使用命令方式來修改這兩個(gè)目錄下文件的。我們可以通過echo和sysctl這兩個(gè)命令來修改這兩個(gè)目錄中的文件，下面筆者將這兩個(gè) 命令的使用方法分別列出來。

1、sysctl命令是為設(shè)置這兩個(gè)目錄中的文件而定制的,它被默認(rèn)安裝在/sbin/目錄中， 我們可以通過使用此命令來顯示和設(shè)置/proc/sys/net/目錄下的文件內(nèi)容。例如：/sbin/sysctl -a命令用來顯示此目錄下的所有文件配置內(nèi)容；/sbin/sysctl -w命令用來修改此目錄下指定文件中的變量值，如：/sbin/sysctl -w net.ipv4.ip_forward="1"用來設(shè)置允許IP包轉(zhuǎn)發(fā)。其它的參數(shù)，讀者可以通過輸入/sbin/sysctl -h命令來得到，在這里就不再具體全部列出了。要注意的是，這個(gè)命令的使用需要管理員權(quán)限的，如果用戶不是以管理員身份登錄的，在使用此命令前用SU命令 得得管理權(quán)限后再操作。

2、/proc/sys/net/目錄下的文件內(nèi)容也可以通過用echo命令來修改。例如：echo 1 > /proc/sys/net/ipv4/ip_forward用來設(shè)置允許IP包轉(zhuǎn)發(fā)；echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all用來設(shè)置不回應(yīng)ICMP ECHO包。在使用echo命令時(shí)，還應(yīng)特別注意此命令的輸入格式，即在echo命令和值之間，以及值與在于符號(hào)（>）之間，在于符號(hào)與要修改的文 件路徑之間都必需有一個(gè)空格。而且，在這兩個(gè)目錄中的有些文件有不上一個(gè)的值，所以，如果你想一次性傳遞多個(gè)值，那么，每一個(gè)值之間也應(yīng)保證用空格隔開。

同時(shí)也要注意的是，用此方法修改/proc/sys/net/目錄下文件中的內(nèi)容在系統(tǒng)重新啟動(dòng)后，所設(shè)置的內(nèi)容會(huì)全部變?yōu)槟J(rèn)值，因此，如果要想 設(shè)置的值永久有效，可以直接把這個(gè)命令加入到/ect/rc.d/rc.local文件中，在這里，這個(gè)文件的路徑是指Red Hat Linux發(fā)行版本中的，其它發(fā)行版本讀者根據(jù)具體情況來定。如果命令項(xiàng)太多，也可以把這些命令項(xiàng)編寫成一個(gè)腳本后，加上可執(zhí)行權(quán)限，再放到這個(gè)文件中， 這樣當(dāng)系統(tǒng)啟動(dòng)時(shí)，就會(huì)按/etc/rc.d/rc.local中的設(shè)置自動(dòng)執(zhí)行。如果你不想修改/etc/rc.d/rc.local文件，那么筆者推 薦你使用/sbin/sysctl命令。

使用命令方式設(shè)置/proc/sys/net/目錄下的文件固然方便易行，但有一部分讀者更喜歡直接修改它們的配置文件的方式，因?yàn)檫@種方式更加直 觀，但它比較適合對(duì)系統(tǒng)了解比較深的用戶。

與其它服務(wù)或設(shè)備不同的是，Linux系統(tǒng)只為/proc/sys/net/目錄提供了一個(gè)配置文件，那就是/ect/sysctl.conf，用 戶可以通過直接編輯/ect/sysctl.conf配置文件，來修改增加相應(yīng)/proc/sys/net/目錄下文件內(nèi)容中的變量的值，這樣當(dāng)系統(tǒng)啟動(dòng) 時(shí)就會(huì)讀取此文件中的配置內(nèi)容來設(shè)置相應(yīng)的項(xiàng)。用vi來編輯此文件是非常簡(jiǎn)單的，此文件中內(nèi)容格式也非常清晰易讀，如其中有如下條 目：net.ipv4.ip_forward=0,把值修改為1后就打開IP包轉(zhuǎn)發(fā)。其實(shí)，用/sbin/sysctl命令修改和直接編輯 /etc/sysctl.conf文件內(nèi)容具有相同的效果，因此，為了安全，推薦用戶優(yōu)先使用/sbin/sysctl命令方式。

到這里，想必讀者已經(jīng)對(duì)/proc/sys/net/目錄下的/proc/sys/net/core/和/proc/sys/net/ipv4/這 兩個(gè)目錄，已經(jīng)有了一定了解了?？墒?，這只是筆者為了突出/proc/目錄與IPV4網(wǎng)絡(luò)的作用而特別選出來說明，其實(shí)，在/proc/目錄下，還有許多 的文件，雖然不能被用戶如上述的兩個(gè)目錄那樣可以被設(shè)置，但是，可以通過這些文件來了解系統(tǒng)詳細(xì)情況和現(xiàn)行的運(yùn)行狀態(tài)，讀者可以從網(wǎng)絡(luò)上找到這個(gè)目錄的詳 細(xì)說明。這些就是Linux系統(tǒng)目錄介紹。