查看: 699|回复: 0

[RouterOS] ROS连接跟踪(转)

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-7-20 11:48 |显示全部楼层
Anywlan微信公众号
8 f' B& {% K; u2 R. S% y$ F* `
连接跟踪
& |- A; \* E: N2 {% I4 P操作路径: /ip firewall connection tracking
* h' C" s7 g9 x6 ?连接追踪提供了几个连接超时(timeout)。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时:
# s. q! @6 b6 o$ O) \: x" w: s3 ?
属性描述# G+ P5 {/ }% L9 \  g6 B" }1 M
count-curent (只读:整数)- 在连接状态列表中记录的当前连接数2 |7 ~9 W$ d4 \' S( \
count-max (只读:整数)- 取决于总内存量的连接状态列表,自动计算出最大连接数
1 V/ y) a* n9 r; q4 N& \6 U- wenable (yes | no; 默认:yes)- 允许或禁止连接追踪,nat被使用的情况下必须开启。
$ k( d4 u+ {: V) M' o0 ?generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活
/ _( l+ g3 D- P. Licmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
5 R0 K: h+ v- W- ~+ D  ^tcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之后存活的最大时间! b3 I( W  P4 w2 y# P
tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间
$ T; X0 w% v8 \6 p" z" C% vtcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间& Y. w/ p7 R: ?3 r
tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间
. c2 i/ f& T7 o3 C( s& qtcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间* w& k- Y. ?4 E
tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间/ V; F0 m* @2 }0 i) m
tcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连
. J- J' g6 V% D/ `接释放初始化机的其他终端请求(FIN)之后连接追踪条目存活的最大时间" z, A0 s+ G6 Z4 \% u6 B, s( O0 k/ e
udp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间8 t; T( v* r. |8 j
udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323,VoIP 等连接的超时。" C9 w' m2 c, V: ?4 D
+ M) Q. t  m5 w: k3 T( }6 y9 |
注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:
9 J! n3 D4 S7 @& l• 连接的最大数量的 1/16,超时值将为1天* Q/ w1 @4 h8 ~
• 连接的最大数量的 3/16,超时值将为1小时0 M  D5 F$ U1 B$ E
• 连接的最大数量的 1/2,超时值将为10分钟: L1 S9 F, C  }* ]( ^
• 连接的最大数量的 13/16,超时值将为1分钟9 C! g& D1 Y, b# I# {$ Y
如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超1 |* d' [& K) K' D( K! ^( {
时就过期了,那么nat 和statefull-firewalling 将停止工作。; _! V! P1 ^) e& M4 ~
注:tracking功能被关闭,nat功能也将会失效;如果你在不考虑启用nat功能情况,可以关闭掉tracking。
. z- S7 d) \, D7 S
$ U- T) {4 M# h6 a( J
7 {' z1 m* Y4 R

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入

x
您需要登录后才可以回帖 登录 | 加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2018-1-17 05:10

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表