查看: 700|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
Anywlan微信公众号

: r) }1 O6 s+ i  M连接跟踪
; j$ H1 k8 O+ I操作路径: /ip firewall connection tracking
4 z6 L+ H; f- @连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:
/ [5 e! t' X; o- }) G% F/ v/ q+ B9 I( o
属性描述5 v- ~& @; ^' D
count-curent (只读:整数)- 在连接状态列表中记录的当前连接数
  l# c5 ?; U4 O/ bcount-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数
* x7 M0 f1 f& ~  m# Q# a% jenable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。& g3 o6 |+ g5 x$ [2 s5 g+ @
generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活
0 |* v, P: L1 C: ]1 ~$ f' ticmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
  c4 m: x/ q2 _% stcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间% M9 c0 n8 K+ g
tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间9 j( P1 R3 r8 v7 }) @( w5 d8 b" O
tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间
  c0 J/ x  e4 U! V- Y) a3 Dtcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间' ^  f9 F' @0 J/ e( L
tcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间" H( {! g7 A: M  ]: g+ o
tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间( X3 w" g: ^" O; N( n# H4 X
tcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连
9 s4 i9 R1 [# n2 G9 p# F接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间
% N6 T6 o6 O4 u- f3 j- T3 ]( ludp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间
- ~5 @5 \0 u2 [6 Z! |/ Qudp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。
: |9 r; \+ m4 N6 U2 J
/ }, V/ |! P$ \* q5 w注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:
5 L7 I0 Q: ^# u7 t% M• 连接的最大数量的 1/16,超时值将为1天& l% p4 U6 P% S7 K! f
• 连接的最大数量的 3/16,超时值将为1小时
0 a/ |' m' V6 f% d- n: R• 连接的最大数量的 1/2,超时值将为10分钟
; K: ?  D) W: k5 M% ?• 连接的最大数量的 13/16,超时值将为1分钟
' u& w- z. u2 b" b& {# I- i  T- W如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超% R4 m4 f- k3 l& k3 Z
时就过期了,那么nat 和statefull-firewalling 将停止工作。7 D8 ~- u/ P1 u. r
注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。; l' U# h0 p6 c8 W
2 p! l" W( a7 o, f& E
/ _$ }1 {% n# r- w3 `+ @9 S

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入

x
您需要登录后才可以回帖 登录 | 加入

本版积分规则

关闭

站长推荐 上一条 /1 下一条

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2018-5-25 03:44

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表