查看: 678|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
Anywlan微信公众号

4 t+ ?* y; L1 u- [连接跟踪* Z7 f2 H! P) c$ i1 D
操作路径: /ip firewall connection tracking/ N- @) ^2 S5 A! u  x! k( h( z- A
连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:
' n5 v8 p1 _8 u9 L; M6 T8 W9 q2 B, l5 {1 T
属性描述3 q3 l! M  I; e3 U( ~$ d
count-curent (只读:整数)- 在连接状态列表中记录的当前连接数
! Z" Y- I+ _( x* h" bcount-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数  H7 y: k7 d3 y$ b2 q7 x' a4 y
enable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。
9 d" ^" y& v3 t2 O3 V0 |. }6 Z! Q6 Lgeneric-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活
, }) b4 |6 H& A( n7 ^: @4 _icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量( e. i/ P* J( }7 S
tcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间
4 P( k& T- R6 ^: Atcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间# _) L  T0 r& m# o; u  s
tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间( e( M, T: a6 h! u8 R7 C
tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间
- a; |. I: K) Xtcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间6 z5 r8 y$ M: I; T5 h
tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间* o2 I  |! N3 e( Y
tcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连
, l, {: ]$ Y+ l+ ~$ q接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间8 r7 m. L0 `  p  Y' S
udp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间3 p( c# i! P* B9 i" Y+ n; ~4 G2 x0 C
udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。
4 {) m! X) G' Z' g) @8 `
% A( k# M, L3 E; O0 d6 |注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:% T0 x' u7 k" |; o0 ^3 T
• 连接的最大数量的 1/16,超时值将为1天
( i, `1 C* g* C8 }• 连接的最大数量的 3/16,超时值将为1小时
  Y$ c( q7 U9 Y1 Q3 p; Y) J• 连接的最大数量的 1/2,超时值将为10分钟
1 v0 o. Q5 [" u; N5 j/ ?! N• 连接的最大数量的 13/16,超时值将为1分钟
! u- Y1 M" U' b- W/ d" S  o如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超
( H) i7 I" \+ m7 x4 w( i$ u时就过期了,那么nat 和statefull-firewalling 将停止工作。
( R$ J1 M$ q6 E注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。0 ]7 g6 `) N1 R. ]# w# ^

" E% [  D6 M7 ^/ i$ \1 N1 m
; @, X. F% H4 o9 S. x: {% I; R

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-3-24 04:08

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表