查看: 679|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
Anywlan微信公众号
' g6 q$ U3 ?* u- [! l
连接跟踪
0 |$ X. W/ j: R, x操作路径: /ip firewall connection tracking
' U. B. _; Y% t, D2 s连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:
8 a4 u/ z0 e7 Z2 K3 Q( a4 \$ ]0 d7 f% D9 c) O2 z$ v
属性描述
2 N0 p5 C4 a- l9 n) K( a1 ycount-curent (只读:整数)- 在连接状态列表中记录的当前连接数4 T3 e9 c! H2 N
count-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数3 u/ G( E* F$ b$ R& @: |
enable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。% i. _' J4 X: f3 j/ G( E5 F
generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活, @& [8 J0 E  _$ }4 T- c' ?. {. [
icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
" Y5 A7 x! h/ B+ a# W+ htcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间7 g, L4 p5 B7 f3 I5 ?% W
tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间
, N& @+ o( V2 ]tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间% o5 l' v) a% I' P! i" g5 ^3 d
tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间0 x- g, m( d' Z- G& E! w) J. s' P
tcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间& P; \. S8 ], ~) A+ F2 d- C2 ?% S; E
tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间
. b) c) e1 z. U* h7 wtcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连
" m; n, v" Y" `, A接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间
& F: }" t1 B' \  E% i* Qudp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间
4 r' l" P1 a# k( V2 ]udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。
4 y. }2 h; }5 x. o: L- ^2 ~
; Y. ~+ n, z" j. y$ y+ X, e注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:
0 ?, D& o$ G  a$ d0 C2 v) I( f• 连接的最大数量的 1/16,超时值将为1天0 X" g9 I& z7 G" M8 `/ ?; z
• 连接的最大数量的 3/16,超时值将为1小时
( |( g! G- L( w9 [4 p0 \! G5 }# H• 连接的最大数量的 1/2,超时值将为10分钟8 M! n6 h- ^' F
• 连接的最大数量的 13/16,超时值将为1分钟1 C% E5 r5 Q% i5 Y1 |$ z+ Q; R. a
如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超
9 Z7 c4 S4 t. x% L% d8 n时就过期了,那么nat 和statefull-firewalling 将停止工作。+ O2 b  J+ q( T
注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。) F  \# o- z' }. @

: u9 \0 t) o% X* U6 o8 h6 ^$ b9 Y; R. J2 ~) x: o: f5 F! [( |

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-4-27 13:19

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表