ROS连接跟踪（转）

用易-小卢

连接跟踪
操作路径: /ip firewall connection tracking
连接追踪提供了几个连接超时（timeout）。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了典型的TCP连接建立和终端以及在这些处理过程中发生的TCP超时：

                               
登录/注册后可看大图

   
属性描述
count-curent (只读:整数)- 在连接状态列表中记录的当前连接数
count-max (只读:整数)- 取决于总内存量的连接状态列表，自动计算出最大连接数
enable (yes | no; 默认:yes)- 允许或禁止连接追踪，nat被使用的情况下必须开启。
generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非TCP 又非UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活
icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到ICMP 请求后存活最的大时间量
tcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求（RST）或来自连接释放初始化机连接终端请求确认通知（ACK）之后存活的最大时间
tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求（FIN）之后连接追踪条目存活的最大时间
tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间
tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求（FIN）后存后连接追踪条目存活的最大时间
tcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求（SYN）之后连接追踪条目存活的最大时间
tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求（SYN）后连接追踪条目存活的最大时间
tcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求（SYN）的连接终端请求（FIN）之后或在看到来自连
接释放初始化机的其他终端请求（FIN）之后连接追踪条目存活的最大时间
udp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间
udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接（连接追踪条目是确定的）的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它用于增加对H323，VoIP 等连接的超时。

注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于：
• 连接的最大数量的 1/16，超时值将为1天
• 连接的最大数量的 3/16，超时值将为1小时
• 连接的最大数量的 1/2，超时值将为10分钟
• 连接的最大数量的 13/16，超时值将为1分钟
如果超时值超过了上面列出的值，那么将使用更小的值。如果连接追踪超时值小于数据包率，比如：在下一个包到达之前超
时就过期了，那么nat 和statefull-firewalling 将停止工作。
注：tracking功能被关闭，nat功能也将会失效；如果你在不考虑启用nat功能情况，可以关闭掉tracking。