net.inet.tcp.blackhole = 2 - данный пункт указывает, что происходит при получении TCP-пакета на закрытый порт (не слушаемый никакими приложениями). Если стоит "1", то SYN пакеты (пакет, устанавливающий соединение) на закрытый порт будут отклоняться без отсылки отправителю RST пакета. При установке в "2", вообще все (а не только SYN) пакеты на закрытый порт отбрасываются без каких-либо действий.
net.inet.udp.blackhole = 1 - очень похож на предыдущий пункт, по результату, но для протокола UDP. Ввиду того, что протокол UDP работает без установки соединения, есть только два, а не три варианта установки, когда эта переменная установлена в 1, то отбрасываются все UDP пакеты, адресованые закрытым портам.
net.inet.icmp.drop_redirect = 1 - уничтожать icmp-датаграммы переадресации
net.inet.icmp.log_redirect = 1 - записывать в журнал событий icmp-датаграммы с указанием переадресации
net.inet.ip.redirect = 0 - может ли эта машина посылать дейтаграммы переадресации другим
net.link.ether.inet.max_age = 1200 - время устаревания записей ARP, в секундах. По истечении этого времени запись удаляется. Тоже помогает против соответствующего типа атаки - когда в таблице ARP создаётся много неверных записей. По дефолту оно 1200 и есть, но возможно, имеет смысл, уменьшить это значение.
net.inet.ip.sourceroute = 0 и net.inet.ip.accept_sourceroute = 0 - При помощи маршрутизации отправителя (это когда в пакете, ещё и маршрут нарисован, по которому его надо дальше передавать) возможно прощупать вашу внутреннюю сеть снаружи (даже если это частная сеть!). Значения по-умолчанию (0) запрещают такое делать. Так что менять не надо.
net.inet.icmp.bmcastecho = 0 - Установка в этого пункта в `0` (а по-умолчанию он так и стоит) зарубает ICMP-сообщения типов 0 и 8 (эхо-запрос и эхо-ответ) на широковещательном адресе.
net.inet.icmp.maskrepl = 0 - Также, с помощью icmp можно запросить маску Вашей сети, и узнать её размер (не то, чтобы прям такая ценная инфа, но облегчать работу противника не надо ни в чём.). По умолчанию этот параметр в `0` - что запрещает такие запросы. Не надо его ставить в `1` :)
net.inet.tcp.msl = 15000 - Есть такая феня, как максимальное время жизни сегмента (Maximum Segment Life - MSL) - максимальное время ожидания ASK в ответ на SYN-ACK или FIN-ACK (миллисекунд). По RFC 753 оно 120 секунд. Но это писалось в 1979 году и многое поменялось. В современных FreeBSD оно равно 30 секунд. Имеет смысл поставить его меньше.
net.inet.icmp.icmplim = 100 - Для уменьшения урона от атак, при который генерится много ответных пакетов, можно поставить ограничение на количество ICMP тип 3 (адресат недостижим) и TCP RST (перезагрузка соединения). По дефолту оно стоит 200. Мона поставить меньше.
net.inet.tcp.log_in_vain = 0 и net.inet.udp.log_in_vain = 0 - Логгирование всех попыток подключения к портам которые никто не слушает
net.inet.tcp.sack.enable = 0 - тюнинг сетевой подсистемы - при большой нагрузке на запросы отвечатеся селективно.
возможно у Вас отключен javascript, если включен - просто обновите страницу