#!/bin/sh

# Опции SYSCTL для более тонкого тюнинга операционной системы на базе FreeBSD 6.2-RELEASE:
##########################################################################################

cmd=`which sysctl`

# IPFW
# ----------------------------------------------------------------------------------------------------------------------------
$cmd net.inet.ip.fw.enable=1			# включить сам фаирвол
$cmd net.inet.ip.fw.autoinc_step=100		# шаг счётчика фаирвола при добовлении новых правил
$cmd net.inet.ip.fw.one_pass=0			# 1 - queue, pipe сразу выходит с фаирвола, 0 - продолжает обработку правилами
$cmd net.inet.ip.fw.debug=1			# включить дополнительную отладку
$cmd net.inet.ip.fw.verbose=1			# включить лог в syslog
$cmd net.inet.ip.fw.verbose_limit=10		# лимит строк которые попадут в лог, 0 - безлимит
#$cmd net.inet.ip.fw.dyn_buckets=256		# размер хешированной таблицы динамических правил
#$cmd net.inet.ip.fw.curr_dyn_buckets=256	# текущий размер хешированной таблицы динамических правил
#$cmd net.inet.ip.fw.dyn_count=308		# текущее значение динамических правил
$cmd net.inet.ip.fw.dyn_max=2048		# максимальное количество динамических правил
#$cmd net.inet.ip.fw.static_count=52		# текущее значение статических правил
#$cmd net.inet.ip.fw.dyn_ack_lifetime=300	# существования динамических правил в секундах для пакетов с флагом ack
#$cmd net.inet.ip.fw.dyn_syn_lifetime=20	# существования динамических правил в секундах для пакетов с флагом syn
#$cmd net.inet.ip.fw.dyn_fin_lifetime=1		# существования динамических правил в секундах для пакетов с флагом fin
#$cmd net.inet.ip.fw.dyn_rst_lifetime=1		# существования динамических правил в секундах для пакетов с флагом rst
#$cmd net.inet.ip.fw.dyn_udp_lifetime=10	# существования динамических правил в секундах для udp-пакетов
#$cmd net.inet.ip.fw.dyn_short_lifetime=5	# время жизни ack-пакетов
$cmd net.inet.ip.fw.dyn_keepalive=1		# поддерживать подключение для tcp-соединений (генерит лишний трафик)
$cmd net.link.ether.ipfw=0			# отключить фильтровать по MAC адресам
$cmd net.inet6.ip6.fw.deny_unknown_exthdrs=1	# запретить принимать неизвестные ipv6-пакеты с расширеными заголовками