查看: 673|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

566

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
TG-NET
Anywlan微信公众号
3 \& D4 ^" H# R) Y( u) |" v
连接跟踪
7 q7 i/ K3 W8 e" _操作路径: /ip firewall connection tracking0 u. v  }% \7 d: l7 z
连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:
# W3 ?# c( n0 O$ ^2 D8 O, u
, B: @7 l. E; z2 |属性描述
# J' F1 i; i& ?/ D3 U5 A0 F2 mcount-curent (只读:整数)- 在连接状态列表中记录的当前连接数+ w/ d& o+ F! b7 ~
count-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数
9 f! d5 |4 k! o6 D/ c' _5 n" i! E9 Ienable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。
2 z( {9 d% J  g0 i  J. qgeneric-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活% ?: e, g$ [: N0 |& E& t+ [& @/ o
icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
" a7 U+ _0 K6 i$ p" C* Itcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间
, R9 ?; n9 j2 ytcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间
2 b1 y2 m+ k& W9 k6 @, ptcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间
, A; _( x+ I% Q5 W) Utcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间
4 a6 c0 k$ D1 ?4 Ftcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间' _4 C$ ~' `/ k- H
tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间
3 v" |8 j' _2 i, R; a4 q3 f# Gtcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连. R: E2 W" f. ^$ W0 \; D
接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间4 G- n" K# T# e! |: q
udp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间, Z& |/ h" X. e) ]
udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。
9 r* i+ i3 l, H3 q. S* }# N* `* i+ s; p* l! I$ t
注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:
+ P) g( U) J: E9 w- Y; W• 连接的最大数量的 1/16,超时值将为1天) |% B, e; L1 e0 P0 o. P
• 连接的最大数量的 3/16,超时值将为1小时% H) I& w. O7 c9 F7 v4 p. |# _
• 连接的最大数量的 1/2,超时值将为10分钟' i/ N( W# M; ~) E
• 连接的最大数量的 13/16,超时值将为1分钟
1 x6 h9 K  X* q! |& Y如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超
3 t+ t4 W3 o: E) n时就过期了,那么nat 和statefull-firewalling 将停止工作。/ i0 y6 z2 r! \& [) o
注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。+ v+ v* M- ?, D7 z* s; F, K7 ~
4 O9 V& \8 M6 n# Y; G2 X

7 Z: r. o" }/ Z- j$ r4 t- n

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-1-24 00:48

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表