查看: 684|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
Anywlan微信公众号

+ V; ?' o+ t/ o, M) W3 a9 H连接跟踪4 w- r6 _2 `% M5 b+ v
操作路径: /ip firewall connection tracking
( p' Z/ N& O5 f8 i0 E连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:! Z+ \" A: _6 T% r0 O7 m% @

' r0 Q: W* }8 k2 z/ _6 X8 Q5 S属性描述, l+ C- ?, y2 @: B9 z! _: ^
count-curent (只读:整数)- 在连接状态列表中记录的当前连接数5 K' S& n+ p' F' V; k/ r, T. h
count-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数8 t) a; [) J3 E6 w
enable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。
5 c+ M# e/ r7 E1 l& [generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活) m7 J- J  Z# `  S" m% ~% o# z
icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
% b1 U$ n3 G. g( dtcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间! W" C1 X$ ^( M- P; }% m
tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间/ u; v1 u  y, ^: ^* L1 r
tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间! I! ^# ]! x& e: H& g: q
tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间0 R8 y% C% [1 c1 C4 W; N  m  p. a
tcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间
) ~( m( {" }# btcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间; p4 M. D1 t8 L$ ]; `3 c
tcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连3 u$ X: _4 P% c) A/ W8 I
接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间
2 d9 x2 W, }5 t8 n/ gudp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间1 u: Y" S1 G* P  a' K& }: I# P
udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。
2 j, ^. X1 x. x' i2 c3 k
, Z6 C, P8 G0 P7 m: D8 H* s注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:
) n3 ~' R! A" `5 k& j  H8 j9 g0 [1 r. j• 连接的最大数量的 1/16,超时值将为1天; k0 C. {( N# d: t! ~
• 连接的最大数量的 3/16,超时值将为1小时
1 a0 [8 N3 e  z• 连接的最大数量的 1/2,超时值将为10分钟
, c! O$ F3 H9 s2 [/ i; d• 连接的最大数量的 13/16,超时值将为1分钟
( h' c& q( w0 v' P1 p如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超
, F. L2 k9 @) L' V# l9 Z时就过期了,那么nat 和statefull-firewalling 将停止工作。
4 k, [9 ^' z" ~# G2 c注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。
4 i. w2 B* m3 j5 }& u' Y
% ~# E- m0 Y2 C) Z
2 @5 [2 @) A9 x, |' c

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

关闭

站长推荐 上一条 /1 下一条

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-6-24 16:51

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表