[连接状态] 操作路径: /ip firewall connection 连接追踪用于维

盼盼天使

连接状态



操作路径: /ip firewall connection

连接追踪用于维护连接状态信息，例如源目的 IP 地址和端口，连接状态，协议类型和超时。特定连接的状态包含： estabilished 意思即数据包是已知连接的一部分，new 意思为数据包开启了一个新连接，related 意为数据包开始了一 个新连接，但与一个已存在连接想联系，如 FTP 数据传输或 ICMP 错误信息，invalid 意为数据包不属于任何一个已建立的 连接。

注：连接追踪是对本地产生的数据包在 prerouting 链或者 output 链完成的。 另一个不能被过高估计的连接追踪功能是 nat 对其的需要。你应该清楚除非你启用了连接追踪否则 NAT 是不能完成的，对P2P 协议识别也一样。连接追踪也在进一步处理前会从碎片中收集 IP 包。

/ip firewall connection 状态列表包含的最大数连接是由路由器的初始物理内存大小决定的。因此，例如一个 64M RAM 的路由器可以容纳最多 65536 连接的信息，128M RAM 的路由器就可以增加到 130000 以上。因此请确定你的路由器配 置了足够量的内存以便可以适宜地处理所有连接。

属性描述

connection-mark (只读: 文本) - mangle 中设置的连接标记

dst-address (只读: IP address:port) - 连接建立到的目的地址和端口

protocol (只读: 文本) – IP 协议名和序号

p2p (只读: 文本) – P2P 协议

reply-src-address (只读: IP address:port) - 从源地址和端口建立的响应连接 reply-dst-address (只读: IP address:port) - 连接建立到的目的地址和端口 src-address (只读: IP address:port) - 从源地址和端口建立的连接

tcp-state (只读: 文本) - TCP 连接状态

timeout (只读: 时间) - 直到连接超时的时间量  

assured (只读: true | false) - 显示是否看到对该条登记的最后一个包的回应

icmp-id (只读: 整型) - 每个 ICMP 包都会在被发送时得到一个为其设定的 ID，并且当接收器收到了 ICMP 信息时，它会 在新的 ICMP 信息内设定同样的 ID 以使发送器能识别回应并能够用适当的 ICMP 请求连接它。

icmp-option (只读: 整型) - ICMP 类型和代码域

reply-icmp-id (只读: 整型) - 包含已接收包的 ICMP ID

reply-icmp-option (只读: 整型) - 已接收包的 ICMP 类型和代码域

unreplied (只读: true | false) - 显示是否请求未被回应

连接跟踪



操作路径: /ip firewall connection tracking

连接追踪提供了几个连接超时（timeout）。当特定的超时超过了相应的条目将会从连接状态列表中删除。下面的图描绘了 典型的 TCP 连接建立和终端以及在这些处理过程中发生的 TCP 超时：

游客，如果您要查看本帖隐藏内容请回复

属性描述

count-curent (只读: 整数) - 在连接状态列表中记录的当前连接数

count-max (只读: 整数) - 取决于总内存量的连接状态列表，自动计算出最大连接数

enable (yes | no; 默认: yes) - 允许或禁止连接追踪，nat 被使用的情况下必须开启。

generic-timeout (时间; 默认: 10m) - 连接列表中追踪既非 TCP 又非 UDP 包的条目的最大时间量将会在看到匹配此 条目最后一个包之后存活

icmp-timeout (时间; 默认: 10s) - 连接追踪条目将在看到 ICMP 请求后存活最的大时间量

tcp-close-timeout (时间; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求（RST）或来自连接释放初始化机连接 终端请求确认通知（ACK）之后存活的最大时间

tcp-close-wait-timeout (时间; 默认: 10s) – 当来自应答器的终端请求（FIN）之后连接追踪条目存活的最大时间

tcp-established-timeout (时间; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间

tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求（FIN）后存后连接追踪条目存 活的最大时间

tcp-syn-received-timeout (时间; 默认: 1m) – 当匹配连接请求（SYN）之后连接追踪条目存活的最大时间

tcp-syn-sent-timeout (时间; 默认: 1m) – 当来自连接初始化机的连接请求（SYN）后连接追踪条目存活的最大时间 tcp-time-wait-timeout (时间; 默认: 10s) – 当紧随连接请求（SYN）的连接终端请求（FIN）之后或在看到来自连 接释放初始化机的其他终端请求（FIN）之后连接追踪条目存活的最大时间

udp-timeout (时间; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间

udp-stream-timeout (时间; 默认: 3m) - 在匹配此连接（连接追踪条目是确定的）的最后一个包的响应被看到之后连 接追踪条目存活的最大时间。它用于增加对 H323，VoIP 等连接的超时。

注:最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于：

-- 连接的最大数量的 1/16，超时值将为 1 天

-- 连接的最大数量的 3/16，超时值将为 1 小时

-- 连接的最大数量的 1/2，超时值将为 10 分钟

-- 连接的最大数量的 13/16，超时值将为 1 分钟

如果超时值超过了上面列出的值，那么将使用更小的值。如果连接追踪超时值小于数据包率，比如：在下一个包到达之前超 时就过期了，那么 nat 和 statefull-firewalling 将停止工作。

注：tracking 功能被关闭，nat 功能也将会失效；如果你在不考虑启用 nat 功能情况，可以关闭掉 tracking。

wochinaren123

see  see  see  see

流沙

trtretretgreyreyreyhrtyhreyhre

wccycl

行政-

AI.............

jmdfwy

看看，学习一哈

efasdflkj

看看看看看看看看看看

小邓

CHVJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJBHVVVV

cxylay520

学习学习一下!!!!!!!!!!!!!!!!!!!!!!!!!!!

licheng

winbos如何调整防火墙