查看: 669|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

562

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
TG-NET
Anywlan微信公众号
6 T& ?; R( c0 `" w; _
连接跟踪+ d8 v3 R( N) m/ }
操作路径: /ip firewall connection tracking6 z/ O4 j" w1 y, C4 P/ _8 u
连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:4 ]! u3 N* s" X1 E9 t

& T! I, g5 i3 \, i* }; \. |/ k属性描述
! J8 T3 m9 s+ z8 i" Q6 s, a. y0 ncount-curent (只读:整数)- 在连接状态列表中记录的当前连接数5 n7 ?' }- R. ~$ V) S; ~
count-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数( q* n% v  v3 d
enable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。
3 L; z) U' E* p  B8 Igeneric-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活
/ H: o7 `' ?- e) D5 n6 ^icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量6 S8 x$ s& U1 {/ i! S( Q; K- u3 h
tcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间. y. Y8 P8 |) I- \7 I$ W0 ~
tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间9 i5 P1 [. m1 L" c4 u
tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间. t# o- W5 J& y
tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间2 [' @+ f* T0 y* ^- ]
tcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间
* w4 Y' h) T: V: ^1 ^' Xtcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间& z) ]! I0 @/ F. j6 y6 q0 z
tcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连5 @% z7 H4 ~5 Z& H
接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间( h/ s# e3 _) G- S
udp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间3 a7 Y1 o) B* y3 l
udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。
- T. Z9 p: t4 K+ C6 z  v1 `, I$ T- [( z  X5 I, y
注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:
: s4 m$ M: h( N* Z" ]• 连接的最大数量的 1/16,超时值将为1天
. ?, Y. v& h3 H* h* p• 连接的最大数量的 3/16,超时值将为1小时; J# c4 b1 B7 w, Y% Y
• 连接的最大数量的 1/2,超时值将为10分钟: ^$ O0 {9 F6 L/ {0 M6 I
• 连接的最大数量的 13/16,超时值将为1分钟0 M- ^$ W+ b3 h7 @+ P$ x5 Q+ g4 K
如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超
% _( z9 V# ?. O7 [) C8 F' d时就过期了,那么nat 和statefull-firewalling 将停止工作。6 d! }. T, o3 Y, M
注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。
2 }* p% Q' h( y; W2 i# F; Z- j
/ F; Z7 \! e6 B, }8 O
6 I, V  C( s& ]: k

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2016-12-5 18:31

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表