查看: 677|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

566

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
TG-NET
Anywlan微信公众号

4 _7 E" \$ x+ P' U; F, q; v连接跟踪  U: Z# `8 _2 M- C
操作路径: /ip firewall connection tracking( D" v0 f! v/ _- A8 A
连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:
& T3 I7 I8 t% h4 w" o! n9 e4 `% y4 f) l
属性描述
2 Z7 q, B2 h. |0 P' Zcount-curent (只读:整数)- 在连接状态列表中记录的当前连接数- B& ^; `; z5 V# V
count-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数
; d9 ^6 p# q. D; _* S+ q$ k# Venable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。  J' }* u6 H: u' S! t7 L; s  [# v
generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活* P' C3 [7 O3 ?9 v
icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
. @/ k, |7 [5 l" b* q! Ytcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间
# w6 ]& p9 R  E; A, Btcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间
. F# g" K3 h* V6 X! K5 _tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间" S( W8 l4 x2 z. q
tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间
3 O! J/ c7 B% o3 z8 etcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间
6 Z, H5 e$ P3 o/ T5 `0 vtcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间
9 g$ I. A$ q  ptcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连
6 t$ t) r0 t" v) Q. O# g% h7 q接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间
# W) \2 q/ R" o+ v! l! d! q7 R/ f: iudp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间
9 u7 d$ j4 K; F5 w' j6 Uudp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。
8 Q( d2 W& e6 q$ D6 ?
  q+ R! b- Y# }" A9 M注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:* q5 S# k( W; d5 P  B
• 连接的最大数量的 1/16,超时值将为1天
+ e7 ~4 C+ @/ p* U$ Z5 l- s& I• 连接的最大数量的 3/16,超时值将为1小时# N  v1 X/ h) @; q( \8 Z
• 连接的最大数量的 1/2,超时值将为10分钟( P& N0 y% H+ s0 {
• 连接的最大数量的 13/16,超时值将为1分钟
# O, G1 ?  H+ T) B+ c如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超
2 o0 [( E5 O) {. u7 Q$ d! \时就过期了,那么nat 和statefull-firewalling 将停止工作。3 \# j% L; z1 Y4 x
注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。
1 e0 U, _, L4 M" e$ J$ m$ f9 l9 m% ]
# @( U2 m2 i8 G& t
4 |0 u7 D) M' P2 K

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-2-27 01:10

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表