> net.ipv4.conf.default.forwarding=1
Включение форвардинга пакетов. Иными словами, необходимо разрешить ядру
операционной системы осущетсвлять проброс трафика с одного интерфейса на
другой.

> fs.file-max = 64000
Максимальное значение открытых файлов. Что бы его узнать, выполните
команду cat /proc/sys/fs/file-max

> net.ipv4.conf.all.rp_filter = 1
Эта переменная сообщает ядру о необходимости фильтрации пакетов по их исходящему адресу.

> kernel.sysrq = 0
Отключается комбинация клавиш sysrq, которая используется при крахе
системы.

> net.ipv4.conf.default.rp_filter=1
Фильтр обратного пути (когда пакет приходит с одного интерфейса, а
уходит на другой)

> net.ipv4.conf.all.accept_source_route = 0
Маршрутизация от источника (source routing) позволяет отправителю
определить путь, по которому пакет должен пройти по сети Internet, чтобы
достигнуть пункта назначения. Это очень удобно для изучения и отладки
работы сети, но нарушитель получает возможность подмены адресов
компьютеров локальной сети. 0 означает, что маршрутизация отключена, 1 -
наоборот.

> net.ipv4.tcp_syncookies=1
Разрешает/запрещает передачу так называемых syncookies вызывающему хосту
в случае переполнения очереди SYN-пакетов для заданного сокета. Когда в
систему поступает слишком много запросов на соединение, то очередь может
переполниться и тогда запускается передача syncookies в ответ на каждый
SYN-запрос. Эта переменная используется для предотвращения syn-flood
атак. Переменная может принимать два значения 0 (выключено) и 1
(включено). Значение по-умолчанию 0 (выключено). Эта функция будет
работать только в том случае, если ядро собрано с опцией
CONFIG_SYN_COOKIES. 
(прим. перев.) В прошлом было много дискуссий по поводу проблем и
недостатков, связанных с syncookies. Лично я рассматриваю эту
возможность как достаточно удобную и безопасную. Однако, в некоторых
случаях, использование этой опции может представлять некоторую угрозу,
см. ниже. Опция tcp_syncookies подразумевает, что на системах с высокой
нагрузкой новые соединения будут устаналиваться без таких фишек, как ECN
и SACK. Если передача syncookies срабатывет при невысоких нагрузках, то
вам следует подкорректировать параметр, задающий длину очереди. Не
следует использовать эту возможность на системах с высокой нагрузкой.
Если в системный журнал поступают предупреждения о syn flood для вполне
законных соединений, то можете попробовать подстроить переменные
tcp_max_syn_backlog, tcp_synack_retries и tcp_abort_on_overflow.

> net.ipv4.ip_default_ttl = 64
Устанавливает значение по-умолчанию для величины Time To Live исходящих
пакетов. Это число определяет продолжительность жизни пакета в Internet.
Каждый раз, когда пакет попадает на очередной роутер, брандмауэр и т.п.,
величина TTL пакета уменьшается на 1. Значение по-умолчанию 64. Это
достаточно приемлемое значение. Очень трудно представить себе ситуацию,
когда это число оказалось бы недостаточным. Переменная принимает целое
число без знака в диапазоне от 0 до 255 включительно, однако, значение
255 слишком велико, а если поставить 0 то вы вообще лишитесь выхода в
сеть. Число 64 достаточно хорошее, если вы не пытаетесь установить
соединение с компьютером, отстоящим от вас на значительном растоянии,
измеряемом в переходах (hops). Тогда этой вличины TTL может и не
хватить. Однако, я в своей практике еще не встречался с компьютерами,
отстоящими от меня более чем на 30 переходов (hops) и я не думаю, что
вам придется увеличивать значение этой переменной. Увеличение TTL пакета
до 255 может иметь свои негативные последствия. Если представить себе,
что где-то произошел сбой в 2-х маршрутизаторах и пакет зациклился между
ними, тогда пакет начнет бегать туда-сюда между маршрутизаторами,
поглощая пропускную способность канала, до тех пор, пока TTL пакета не
истечет. Как правило, величину TTL не устанавливают больше 100.

> net.ipv4.ip_dynaddr = 0
Переменная используется для разрешения некоторых проблем, связанных с
динамической адресацией. Позволяет демону diald одновременно
устанавливать соединение и изменять исходящий адрес в пакетах (и сокетах
для локальных процессов). Эта возможность была реализованв для поддержки
TCP по коммутируемым соединениям и соединениям с маскарадингом
(masqueradig). Эта опция позволяет маскарадить исходящий адрес пакета
при изменении динамического IP-адреса.В переменную можно записать одно
из 3-х значений: 0, 1 или 2. (0 опция выключена, это значение
по-умолчанию. 1 опция включена.) Любое другое значение, отличающееся от
0 и 1 подразумевает включение этой опции в многословном (verbose)
режиме, что приводит к записи в системный журнал отладочных сообщений.
Что происходит, если изменяется адрес исходящего интерфейса при
включенной опции ip_dynaddr: Исходящий адрес пакета и сокета изменяется
ПРИ ПОВТОРНОЙ ПЕРЕДАЧЕ, когда он находится в состоянии SYN_SENT. Это
касается локальных процессов. Для транзитных пакетов исходящий адрес
пакета изменяется на выходе, когда внутренний хост выполняет ПОВТОРНУЮ
ПЕРЕДАЧУ, пока не будет принят внешний пакет. Эта опция особенно полезна
для случаев автодозвона, когда в момент установления связи исходящий
адрес еще не известен. Любой запрос на соединение заставляет diald
поднять исходящий интерфейс, после чего пакеты отправляются через него.
Это означает, что нет необходимости сначала выдавать запрос который
поднимет исходящий интерфейс, а затем выдавать реальный запрос на
соединение, вместо этого мы просто устанавливаем соединение.

> net.ipv4.ip_local_port_range = 32768 61000
Содержит два целых числа, которые определяют диапазон локальных портов,
которые используются в клиентских соединениях, т.е. для исходящих
соединений, которые связывают нашу систему с некоторым узлом сети, где
мы выступаем в качестве клиента. Первое число задает нижнюю границу
диапазона, второе верхнюю. Значения по-умолчанию зависят от имеющегося
объема ОЗУ. Если установлено более чем 128 Мб, то нижняя граница будет
32768, а верхняя 61000. При меньшем объеме ОЗУ нижняя граница будет
1024 а верхняя 4999 или даже меньше. Этот диапазон определяет
количество активных соединений, которые могут быть запущены
одновременно, с другой системой, которая не поддерживает TCP-расширение
timestamp. Диапазона 1024-4999 вполне достаточно для установки до 2000
соединений в секунду с системами, не поддерживающими timestamp. Проще
говоря, этого вполне достаточно для большинства применений.

> net.ipv4.ip_no_pmtu_disc = 0
Переменная ip_no_pmtu_disc запрещает поиск PMTU (от англ. Path Maximum
Transfer Unit Максимальный Размер Пакета для выбранного Пути). Для
большинства случаев лучше установить в эту переменную значение FALSE,
или 0 (т.е. система будет пытаться определить максимальный размер
пакета, при котором не потребуется выполнять их фрагментацию, для
передачи на заданный хост). Но иногда, в отдельных случаях, такое
поведение системы может приводить к срывам соединений. Если у вас
возникают такие проблемы, то вам следует попробовать отключить эту опцию
(т.е. записать в переменную число 1) и установить нужное значение MTU.
Хочу обратить ваше внимание на то, что MTU и PMTU это не одно и то же!
MTU (от англ. Maximum Transfer Unit максимальный размер пакета)
определяет максимальный размер пакета для наших сетевых интерфейсов, но
не для сетевых интерфейсов на другом конце. PMTU опция, которая
заставляет систему вычислять максимальный размер пакета, при котором не
потребуется фрагментация пакетов, для маршрута к заданному хосту,
включая все промежуточные переходы. Значение по-умолчанию FALSE (0),
т.е. функция определения разрешена. Если записать число 1 в эту
переменную, то функция определения PMTU будет запрещена. Переменная
ip_no_pmtu_disc может принимать значение 0 или 1.

> net.ipv4.ip_nonlocal_bind = 0
Установка этой переменной позволяет отдельным локальным процессам
выступать от имени внешнего (чужого) IP адреса. Это может оказаться
полезным в некоторых случаях, когда необходимо прослушивать внешние
(чужие) IP адреса, например сниффинг чужого траффика. Однако, эта опция
может оказывать отрицательное влияние на работоспособность отдельных
приложений. Эта переменная может иметь два значения 0 или 1. Если
установлено значение 0, то опция отключена, 1 включена. Значение
по-умолчанию 0.

> net.ipv4.ipfrag_low_thresh = 196608
Переменная задает максимальный объем памяти, выделяемый под очередь
фрагментированных пакетов. Когда длина очереди достигает этого порога,
то обработчик фрагментов будет отвергать все фрагментированные пакеты до
тех пор, пока длина очереди не уменьшится до значения переменной
ipfrag_low_thresh. Это означает, что все отвергнутые фрагментированные
пакеты должны быть повторно переданы узлом-отправителем. Пакеты
фрагментируются в том случае, если их размер слишком велик, чтобы быть
переданными по данному каналу. Узел-отправитель, в этом случае, режет
пакеты на более мелкие части и затем передает их одну за другой. На
узле-получателе эти фрагменты опять собираются в полноценный пакет.
Примечательно, что идея фрагментации пакетов, сама по себе, вещь
замечательная, но, к сожалению, может быть использована в весьма
неблаговидных целях. Переменная содержит целое число в диапазоне 0 ..
2147483647 и означает верхний порог длины очереди фрагментов в байтах.
Значение по-умолчанию 262144 байт, или 256 Кб. Этого количества, как
правило, вполне достаточно даже для самых крайних случаев.

> net.ipv4.ipfrag_time = 30
Эта переменная определяет максимальное время хранения фрагментов в
секундах. Это относится только к тем фрагментам, которые пока невозможно
собрать, поскольку собранные пакеты к этому сроку скорее всего уже будут
переданы дальше (на следующий уровень или в сеть). Переменная принимает
целое значение и определяет предельное время хранения фрагментов в
секундах. Если записать туда число 5, то это будет означать 5 секунд.

> net.ipv4.inet_peer_gc_maxtime = 120
Переменная inet_peer_gc_maxtime определяет частоту сборки мусора при
незначительном объеме данных. Эта переменная имеет то же предназначение,
что и inet_peer_gc_mintime, только выбор, какой переменной пользоваться,
производится в зависимости от величины нагрузки на систему. Переменная
принимает целое число, измеряемое в тиках. Значение по-умолчанию 120
тиков, чего вполне достаточно для большинства серверов и рабочих
станций.

> net.ipv4.inet_peer_gc_mintime = 10
Переменная inet_peer_gc_maxtime определяет частоту сборки мусора при
незначительном объеме данных. Эта переменная имеет то же предназначение,
что и inet_peer_gc_mintime, только выбор, какой переменной пользоваться,
производится в зависимости от величины нагрузки на систему. Переменная
принимает целое число, измеряемое в тиках. Значение по-умолчанию 120
тиков, чего вполне достаточно для большинства серверов и рабочих
станций.

> net.ipv4.inet_peer_maxttl = 600
Это максимальное время хранения записей. При незначительных нагрузках на
систему неиспользуемые записи будут удаляться через данный промежуток
времени.

> net.ipv4.inet_peer_minttl = 120
Переменная определяет минимальное время хранения данных в inet peer
storage. Это время должно быть достаточно большим, чтобы перекрыть время
сборки фрагментов на противоположной стороне. Минимальное время хранения
является гарантией того, что размер пула будет меньше чем величина
inet_peer_threshold.

> net.ipv4.inet_peer_threshold = 65664
Переменная определяет минимальное время хранения данных в inet peer
storage. Это время должно быть достаточно большим, чтобы перекрыть время
сборки фрагментов на противоположной стороне. Минимальное время хранения
является гарантией того, что размер пула будет меньше чем величина
inet_peer_threshold.

> net.ipv4.tcp_abort_on_overflow = 0
Эта переменная заставляет ядро отвергать новые соединения, если их
поступает такое количество, что система не в состоянии справиться с
таким потоком. Что это означает? Допустим, что на систему обрушивается
шквал запросов на соединение, тогда они могут быть просто отвергнуты,
если переменная будет включена, поскольку система не в состоянии
обработать их все. Если переменная не установлена, то система будет
пытаться обслужить все запросы. Переменная может иметь два значение 
0(выключено) или 1(включено). Значение по-умолчанию 0. Включение этой
опции следует расценивать как крайнюю меру. Перед этим необходимо
попытаться поднять производительность сервисов.

> net.ipv4.tcp_adv_win_scale = 2
Эта переменная влияет на вычисление объема памяти в буфере сокета,
выделяемой под размер TCP-окна и под буфер приложения. Если величина
tcp_adv_win_scale отрицательная, то для вычисления размера используется
следующее выражение: Где bytes это размер окна в байтах. Если величина
tcp_adv_win_scale положительная, то для определения размера используется
следующее выражение: Переменная принимает целое значение. Значение
по-умолчанию 2, т.е. под буфер приложения отводится 1/4 часть объема,
определяемого переменной tcp_rmem.

> net.ipv4.tcp_app_win = 31
Эта переменная определяет количество байт, резервируемых под TCP-окно в
приемном буфере сокета. Выражение, согласно которому делается расчет,
выглядит следующим образом: Как видно из выражения чем больше значение
переменной, тем меньше будет размер буфера окна. Исключение составляет
значение 0. В этом случае резервирование не производится. Значение
по-умолчанию 31. Не изменяйте эту переменную, если вы не уверены в том,
что делаете.

> net.ipv4.tcp_dsack = 1
Эта опция необходима для выполнения передачи дублирующих SACK-пакетов
(от англ. Selective ACKnowledgement Выборочное Подтверждение Приема,
прим. перев.). Техника выборочного подтверждения кратко описана в
разделе, посвященном переменной tcp_sack. Детальное описание можно найти
в RFC 2883. Здесь подробно описываются действия по обработке ситуаций,
когда получен дубликат пакета, пришедшего ранее, или когда пакеты
поступают не в той очередности. D-SACK это расширение стандарта SACK и
используется для уведомления хоста-отправителя о том, что пакет был
получен дважды (т.е. продублирован). Эту информацию хост-отправитель
может использовать для корректировки сетевых настроек и т.п.. Эта опция
гарантирует 100%-ную обратную совместимость с устаревшими реализациями
TCP, если в них техника SACK не реализована каким-либо нестандартным
образом. Но это чрезвычайно редкий случай, а посему у вас едва ли будут
возникать проблемы с этим. Переменная может иметь два состояния 1
(включено) и 0 (выключено). Значение по-умолчанию 1 (включено). И, само
собой разумеется, установка этой переменной имеет смысл только если
включена переменная tcp_sack, поскольку tcp_dsack очень тесно связана с
ней. В большинстве случаев разумным будет оставить переменную
включенной.

> net.ipv4.tcp_ecn = 0
Переменная tcp_ecn отвечает за работу Explicit Congestion Notification
(Явное Уведомление о Перегруженности) в TCP-соединениях. Используется
для уведомления о возникновении затора на маршруте к заданному хосту или
сети. Может использоваться для извещения хоста-отправителя о
необходимости снизить скорость передачи пакетов через конкретный
маршрутизатор или брандмауэр. Explicit Congestion Notification (ECN)
детально описано в RFC 3168 - The Addition of Explicit Congestion
Notification (ECN) to IP. Дополнительную информацию о ECN вы найдете в
RFC 2884 - Performance Evaluation of Explicit Congestion Notification
(ECN) in IP Networks. Коротко: этот документ подробно описывает как
должно передаваться уведомление о перегруженности хосту-отправителю,
который, в свою очередь, может выбрать другой маршрут или начать снижать
скорость передачи до тех пор, пока к нему не перестанут поступать
ECN-пакеты. В Интернете еще встречаются маршрутизаторы и брандмауэры,
которые не пропускают пакеты с установленным флагом ECN и, если вам не
повезет, то вы можете столкнуться с ними. При возникновении проблем с
прохождением ECN попробуйте отключить эту опцию. Если вам встретится
подобный маршрутизатор, то можете попробовать вступить в контакт с
администратором и предупредить его об имеющихся проблемах. Подробное
описание проблемы и общий список аппаратуры, являющейся причиной этой
неприятности, вы найдете в приложении Ссылки в пункте ECN-under-Linux
Unofficial Vendor Support Page. Переменная может иметь два состояния 0
(выключено) и 1 (включено). Значение по-умолчанию 0 (выключено).

> net.ipv4.tcp_fack = 1
Переменная tcp_fack ответственна за систему Forward Acknowledgement
(Упреждающее Подтверждение) в Linux. Forward Acknowledgement это
специальный алгоритм, который работает поверх SACK, и предназначен для
контроля заторов. Главная идея алгоритма FACK состоит в отслеживании
наибольшего номера выборочно подтвержденной последовательности как
признака того, что все предыдущие не подтвержденные (выборочно) сегменты
были потеряны. Это позволяет оптимизировать восстановление потерь.
Однако, этот алгоритм становится неработоспособным в случае
неупорядоченного потока данных, тогда он (алгоритм) автоматически
отключается для данного конкретного соединения. Изначально алгоритм FACK
был разработан Мэттью Матисом (Matthew Mathis) с соавторами. Документ,
описывающий алгоритм, можно найти на http://www.psc.edu/~mathis/.
Переменная может принимать два значения 0 (выключено) и 1 (включено).
Значение по-умолчанию 1 (включено). Эта опция используется только
тогда, когда включена переменная tcp_sack.

> net.ipv4.tcp_fin_timeout = 60

Переменная задает максимальное время пребывания сокета в состоянии
FIN-WAIT-2. Используется в тех случаях, когда другая сторона по тем или
иным причинам не закрыла соединение со своей стороны. Каждый сокет
занимает в памяти порядка 1.5 Кб, что может привести к значительным
утечкам памяти в некоторых случаях. Переменная принимает целое число.
Значение по-умолчанию 60 секунд. В ядрах серии 2.2 это значение было
равно 180 секундам, но было уменьшено, поскольку иногда возникали
проблемы, связанные с нехваткой памяти, на web-серверах, которые, как
правило, обслуживают огромное количество подключений. За дополнительной
информацией обращайтесь к описанию переменных tcp_max_orphans и
tcp_orphan_retries.

> net.ipv4.tcp_keepalive_intvl = 75
Переменная определяет интервал проверки жизнеспособность сокета. Это
значение учитывается при подсчете времени, которое должно пройти перед
тем как соединение будет разорвано. Переменная принимает целое число.
Значение по-умолчанию 75 секунд. Это достаточно высокое значение, чтобы
рассматривать его как нормальное. Значения переменных
tcp_keepalive_probes и tcp_keepalive_intvl могут использоваться для
определения времени, через которое соединение будет разорвано. Со
значениями по-умолчанию (9 попыток с интервалом 75 секунд) это займет
примерно 11 минут. Попытки определения жизнеспособности, в свою очередь,
начнутся через 2 часа после того, как через данное соединение
проследовал последний пакет.

> net.ipv4.tcp_keepalive_probes = 9
Переменная определяет количество попыток проверки жизнеспособности
прежде, чем будет принято решении о разрыве соединения. Переменная
принимает целое число, которое не следует устанавливать больше 50-ти.
Значение по-умолчанию 9. Это означает, что будет выполнено 9 попыток
проверки соединения, чтобы убедиться в том, что соединение разорвано.

> net.ipv4.tcp_keepalive_time = 7200
Переменная определяет как часто следует проверять соединение, если оно
давно не используется. Значение переменной имеет смысл только для тех
сокетов, которые были созданы с флагом SO_KEEPALIVE. Переменная
принимает целое число секунд. Значение по-умолчанию 7200 секунд, или 2
часа. Не уменьшайте это число без необходимости, поскольку это может
привести к увеличению излишнего трафика.

> net.ipv4.tcp_max_orphans = 65536
Переменная задает максимальное число осиротевших (не связанных ни с
одним процессом) сокетов. Если это число будет превышено, то такие
соединения разрываются, а в системный журнал пишется предупреждение. Это
ограничение существует исключительно ради предотвращения простейших
разновидностей DoS-атак. Вообще вы не должны полагаться на эту
переменную! Не рекомендуется уменьшать это число. Сетевая среда может
потребовать увеличение этого порога, однако, такое увеличение может
привести к необходимости увеличения объема ОЗУ в системе. Прежде чем
поднимать этот предел попробуйте перенастроить сетевые сервисы на более
агрессивное поведение по отношению к осиротевшим сокетам. Переменная
принимает целое число. Значение по-умолчанию 8192, однако оно очень
сильно зависит от объема памяти в системе. Каждый осиротевший сокет
съедает примерно 64 Кб памяти, которая не может быть сброшена в своп
(swap). При возникновении проблем, связанных с этим ограничением в
системный журнал будет записано сообщение, подобное этому: TCP: too many
of orphaned sockets Это может служить поводом к тому, чтобы пересмотреть
значения переменных tcp_fin_timeout или tcp_orphans_retries.

> net.ipv4.tcp_max_syn_backlog = 1024
Переменная определяет максимальное время хранения SYN-запросов в памяти
до момента получения третьего, завершающего установление соединения,
пакета. Эта опция работает только тогда, когда включена переменная
tcp_syncookies. Если сервер испытывает серьезные нагрузки, то можно
попробовать немного увеличить этот параметр. Переменная принимает целое
число. Значение по-умолчанию зависит от количества памяти, имеющейся в
системе. Если объем памяти менее 128 Мб, то значение по-умолчанию равно
128, если больше, то значение по-умолчанию равно 1024. Если вы
увеличиваете эту переменную до величины более чем 1024, то было бы
неплохо изменить величину TCP_SYNQ_HSIZE и пересобрать ядро.
TCP_SYNQ_HSIZE находится в файле linux/include/tcp.h. Эта величина
рассчитывается по формуле: TCP_SYNQ_HSIZE*16 tcp_max_syn_backlog

> net.ipv4.tcp_max_tw_buckets = 180000
Максимальное число сокетов, находящихся в состоянии TIME-WAIT
одновременно. При превышении этого порога лишний сокет разрушается и
пишется сообщение в системный журнал. Цель этой переменной 
предотвращение простейших разновидностей DoS-атак. Переменная принимает
целое число. Значение по-умолчанию 180000. На первый взгляд может
показаться, что это очень много, но на самом деле это не так. Если у вас
начинают возникать ошибки, связанные с этим параметром, то попробуйте
увеличить его. Вам не следует уменьшать значение этой переменной. Вместо
этого, если начали поступать сообщения в системный журнал, ее следует
увеличить, однако, это может потребовать наращивания памяти в системе.

> net.ipv4.tcp_mem = 196608 262144 393216
В этой переменной задаются 3 значения, определяющие объем памяти,
который может быть использован стеком TCP. Значения измеряются в
страницах памяти. Размер одной страницы зависит от аппаратуры и
конфигурации ядра. Для архитектуры i386 размер одной страницы составляет
4Кб, или 4096 байт. Некоторые, более новые аппаратные реализации, имеют
размер страницы равный 16, 32 или даже 64 Кб. Все три значения
по-умолчанию рассчитываются во время загрузки. Первое число задает
нижний порог. Ниже этого порога, стек TCP вообще никак не беспокоится об
управлении памятью, используемой различными TCP сокетами. Когда объем
используемой памяти достигает второго предела (числа), то TCP начинает
более энергично расталкивать память, стремясь освободить ее как можно
быстрее. Этот процесс продолжается до тех пор, пока объем использумой
памяти не достигнет нижнего предела. И последнее число максимальный
объем памяти, который может использоваться для нужд TCP. Если
используемый объем памяти достигнет этого порога, то TCP просто начинает
терятьпакеты и соединения до тех пор, пока объем используемой памяти не
уменьшится. Эта переменная может позволить несколько увеличить
пропускную способность на толстых каналах, если должным образом
настроить переменные tcp_mem, tcp_rmem и tcp_wmem. Впрочем, переменная
tcp_rmem не требует особо пристального внимания, поскольку серия ядер
2.4 имеет достаточно хорошие настройки этой переменний, а вот на другие
две следует взглянуть поближе. Дополнительную информацию об этом вы
найдете в руководстве TCP Tuning Guide.

> net.ipv4.tcp_orphan_retries = 0
Количество попыток закрыть соединение перед тем как оно будет разорвано
принудительно. Если вы администрируете http-сервер, который испытывает
большие нагрузки, то стоит подумать об уменьшении этого значения.
Переменная принимает целое число. Значение по-умолчанию 7, что
соответствует, примерно, от 50 секунд до 16 минут, в зависимости от
величины Retransmission Timeout (RTO Таймаут для Повторной Передачи.
прим. перев.). Детальное описание RTO вы найдете в разделе 3.7. Data
Communication RFC 793 - Transmission Control Protocol. Кроме того,
посмотрите описание переменной tcp_max_orphans.

> net.ipv4.tcp_reordering = 3
Максимальное количество пакетов, пришедших в потоке не по-порядку,
прежде чем будет сделано предположение о том, что пакет был потерян
где-то на маршруте. Когда делается такое предположение, то стек TCP
переходит обратно в режим slow start (медленный старт), поскольку пакет
действительно мог быть утерян из-за перегруженности сети. Кроме того,
стек TCP откажется от дальнейшего использования алгоритма FACK при
обмене с этим хостом. Переменная принимает целое число. Значение
по-умолчанию 3. Это достаточно хорошее значение и не следует его
изменять. Если этот параметр уменьшить, то это может значительно
ухудшить работу сетевой подсистемы особенно, если пакеты часто
переупорядочиваются.

> net.ipv4.tcp_retrans_collapse = 1
Включает/выключает эмуляцию ошибки протокола TCP, делая возможным
сетевое взаимодействие с некоторыми устройствами, в которых реализация
стека TCP имеет эту ошибку. Без ее эмуляции было бы невозможным работать
с отдельными моделями принтеров. Ошибка заключается в отправке
полноразмерных пакетов при повторной передаче. Переменная может
принимать два значения 0 (выключено) и 1 (включено). Значение
по-умолчанию 1 (включено). Эмуляция ошибки никак не повредит
взаимодействию с другими узлами сети, но при этом позволит общаться с
устройствами, имеющими ошибку в реализации стека TCP. Вообще эта опция
совершенно безопасна, однако, если в журнал пишутся непонятные сообщения 
можете попробовать отключить ее.

> net.ipv4.tcp_retries1 = 3
Максимальное количество попыток повторной передачи пакетов по
установленному соединению прежде, чем сообщение об ошибке будет передано
сетевому уровню, в результате чего может быть выбран другой маршрут для
отправки последующих пакетов. Минимальное значение этого параметра
определяется в RFC ???? и равно 3. Это число является значением
по-умолчанию, что соответствует интервалу времени от 3 секунд до 8
минут, в зависимости от величины Retransmission timeout (RTO). Детальное
описание RTO вы найдете в разделе 3.7. Data Communication RFC 793 -
Transmission Control Protocol. Переменная принимает целое число.
Значение по-умолчанию 3. Стандарты определяют диапазон изменения этого
параметра от 3 до 100.

> net.ipv4.tcp_retries2 = 15
Максимальное количество попыток повторной передачи пакетов, до того как
соединение будет считаться разорванным. Это ограничение определено в RFC
1122 и равно 100, но обычно его уменьшают. Переменная принимает целое
число. Значение по-умолчанию 15, что соответствует примерно 13-30
минутам в зависимости от величины Retransmission timeout (RTO). При
желании можете попробовать уменьшить этот параметр.

> net.ipv4.tcp_rfc1337 = 0
Переменная tcp_rfc1337 является реализацией решения проблемы,
описываемой в RFC 1337 - TIME-WAIT Assassination Hazards in TCP.
Проблема связана с устаревшими дубликатами пакетов, которые могут
вносить помехи во вновь устанавливаемые соединения и порождать три
различные проблемы. Первая устаревший дубликат пакета с данными может
быть ошибочно воспринят в новом соединении, что приведет к передаче
неверных данных. Вторая соединение может быть десинхронизировано и уйти
в ACK-цикл из-за устаревших дубликатов, которые порождают новые
соединения (здесь автор имеет ввиду устаревшие дубликаты SYN-пакетов,
прим. перев.). И третья, и последняя проблема устаревшие дубликаты
могут проникнуть в недавно созданное соединение и ошибочно уничтожить
его. Согласно упомянутому RFC существуют три возможных решения, однако,
одно из них решает эту проблему лишь частично, второе требует внесения
значительных изменений в протокол TCP. Окончательное решение состоит в
том, что RST-пакеты должны просто игнорироваться, пока сокет находится в
состоянии TIME_WAIT. Вместе с установкой параметра Maximum Segment Life
(MSL максимальное время жизни сегмента) равным 2 мин. такой подход
решает все три проблемы, описанные в RFC 1337.

> net.ipv4.tcp_rmem = 4096 87380 4194304
Переменная содержит три числа, которые используются при управлении
размерами приемных буферов. Первое число минимальный размер приемного
буфера, который выделяется для каждого сокета. Этот размер буфера
выделяется всегда, даже при очень высоких нагрузках на систему. Значение
по-умолчанию 4096 байт, или 4 Кб. В предыдущих версиях ядра Linux это
значение было 8192 байт. Это достаточно большой размер и не следует
увеличивать его, иначе, при взрывных нагрузках на сеть, вы можете
столкнуть с очень серьезными проблемами. Второе число размер приемного
буфера по-умолчанию, который выделяется для каждого сокета. Это значение
перекрывает значение переменной /proc/sys/net/core/rmem_default, которая
используется другими протоколами. Значение по-умолчанию 87380 байт, или
85 Кб. Совместно с переменными tcp_adv_win_scale и tcp_app_win эта
переменная используется при расчете размера TCP-окна. Это значение
используется при незначительных нагрузках. Как и в случае с первым
значением не следует без особой нужды изменять этот параметр. Эта
переменная может дать некоторый прирост производительности на толстых
каналах, если достаточно корректно используется вместе с переменными
tcp_mem и tcp_wmem. tcp_rmem не требует вмешательства извне, поскольку
ядра серии 2.4 достаточно хорошо настраивают ее автоматически, а вот на
tcp_mem и tcp_wmem можно взглянуть попристальнее. Дополнительную
информацию, по настройке переменных, вы найдете в TCP Tuning Guide.
Третье, и последнее, число максимально возможный размер приемного
буфера, который может быть размещен для каждого сокета. Этот параметр
перекрывается переменной /proc/sys/net/core/rmem_max, если значение в
ipv4 оказывается больше. Перед изменением этого параметра вам следует
сначала взглянуть на значение /proc/sys/net/core/rmem_max. Значение
по-умолчанию удвоенное значение второго параметра, т.е. 87380 * 2
bytes, или 174760 байт (170 Кб). Как правило этот параметр не нуждается
в корректировке.