查看: 692|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
Anywlan微信公众号
# \) B$ H* |. U6 g8 z& e
连接跟踪4 n7 J; H+ f# k% z8 K9 o. {0 L1 ^
操作路径: /ip firewall connection tracking
; n1 c3 D% V, @$ E8 Y" H4 F连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:  D# ~% }" O# S/ V; y# _

1 @. a* f& ?- V2 _5 [) \2 _/ g属性描述2 D: _/ h' T( C) `/ x! P1 e
count-curent (只读:整数)- 在连接状态列表中记录的当前连接数
; e/ s6 H: l! c2 x$ Z! ~+ }count-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数2 y- m9 G7 I" S; S9 \! n0 \6 D
enable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。, W5 E* @" }; v+ ]2 h, \
generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活
- E4 q. `- ?' C+ e5 O- F; e- Yicmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
- _8 y7 T! \/ S2 w* jtcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间: D& ^) y5 d% a: w0 B# }- A
tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间/ [' X/ Y9 O; P; G1 }0 i0 `5 k
tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间8 V' u! W4 ?: u: P
tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间$ `3 q  {. ~& b1 C/ c
tcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间
1 \' f( t5 n  M7 B" y9 ?tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间
3 m; j: n5 u  L; P" S  dtcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连
+ s. T/ g6 y1 v) ~" y3 L+ L接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间
0 I. i3 {; @, J# b6 \! q0 Iudp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间) E: j  ]; j- p  p
udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。
6 T+ S2 z' u) T: D' U
$ W/ I9 f. K/ i6 X  m注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:
( }/ j( g* P: h" v/ y• 连接的最大数量的 1/16,超时值将为1天3 P$ f/ Z" H! a2 g, |( F2 x
• 连接的最大数量的 3/16,超时值将为1小时% R5 Q7 U2 q6 C7 ?1 \- ]6 o. d
• 连接的最大数量的 1/2,超时值将为10分钟: K7 h( [9 R& ~; ~( J+ q4 A
• 连接的最大数量的 13/16,超时值将为1分钟. u; O6 z, i  ~- H
如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超
2 [. R/ P$ _8 `; |时就过期了,那么nat 和statefull-firewalling 将停止工作。
& L0 R& q: e& c4 A注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。
' T3 }# Z! z' z8 H; W6 L/ S: T3 C$ |( I

0 B4 l4 J' p3 b. P6 H; U

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2017-9-22 07:12

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表