查看: 681|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
Anywlan微信公众号
' c# _, s" F+ p
连接跟踪
7 a# ]/ t/ \% Y. |' n操作路径: /ip firewall connection tracking
2 q1 T5 O$ M8 y连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:
$ P0 E9 n6 v% w) R# s8 {$ q3 d0 G2 u( ~( M7 ^
属性描述0 E3 B& \2 i% R) x, s- m; [
count-curent (只读:整数)- 在连接状态列表中记录的当前连接数7 Z% X7 m% I6 m4 ]6 r" W5 u
count-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数: [" d2 T: b. W2 P
enable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。2 Q+ e1 t+ R% G+ z$ r
generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活4 A3 Q  y# Z8 C1 R
icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
& ~; E) [( r5 l( x' J6 |tcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间/ ?$ M# H6 v6 Z! ~
tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间
3 b  }: U  f1 J% ]; b2 E0 ptcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间
' U6 G( L( u! ttcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间; @/ @0 j: ]5 M  ^, X+ s
tcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间  ^6 [8 ]. e2 v
tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间
$ X5 S" X: ]$ g3 Etcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连3 J) O! I8 G  A, [
接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间0 g/ U1 u. K4 J# f2 y4 t$ x
udp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间
! k, T7 O' H: Sudp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。. F3 W5 b; D- @- T. ?

  f4 b, d% O) o注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:7 x  A. V5 j9 r
• 连接的最大数量的 1/16,超时值将为1天
0 J. f* g1 ?" K- h; i1 {9 T! B• 连接的最大数量的 3/16,超时值将为1小时
5 |3 r+ E+ j7 L6 q$ `& F• 连接的最大数量的 1/2,超时值将为10分钟/ W7 t1 f$ \) ?
• 连接的最大数量的 13/16,超时值将为1分钟
5 Q* v# D& D$ }$ X4 I1 U如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超
5 t! s' `; Y7 S4 M* e; m时就过期了,那么nat 和statefull-firewalling 将停止工作。
, A4 T7 G# V. l注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。
- S6 |+ |. ?8 F3 L) B( C! {; {( v" O- F+ B+ }

& t8 @0 F% x! G6 t& ^8 F

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-5-28 01:24

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表