|
|
|
|
Страница 1 из 1
|
[ Сообщений: 2 ] |
|
Ограничение количества TCP-коннектов на PIX-e
Автор |
Сообщение |
Valex
Зарегистрирован: 06 май 2009, 14:50 Сообщения: 34
|
Добрый день! Вопрос по PIX 515Е ver 8.0.4 Может есть мысли... Я прописываю статическую трансляцию с ограничением количества tcp-коннектов: static (DMZ,outside) x.x.x.x y.y.y.y netmask 255.255.255.255 tcp 2000 100 И в то же время в выводе команды sh local-host x.x.x.x вижу: Interface DMZ: 16 active, 254 maximum active, 0 denied local host: <x.x.x.x>, TCP flow count/limit = 709/unlimited TCP embryonic count to host = 1 TCP intercept watermark = unlimited UDP flow count/limit = 11/unlimited
Смущает вот это - 709/unlimited Почему unlimited ? Ведь я указал ограничение в 2000 коннектов.
Добиться работы ограничения удалось только использованием policy-map на outside-интерфейс: policy-map tcpmap class tcp_syn set connection conn-max 2000 embryonic-conn-max 100 per-client-max 20 per-client-embryonic-max 10 set connection timeout embryonic 0:00:45 half-closed 0:25:00 tcp 2:00:00
-- Алексей.
_________________ Алексей.
|
06 май 2009, 15:09 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, забавная ситуация :/
Мне тоже не удалось увидеть ограничение без policy-map.
Причём ни на 8.0(х), ни на 7.2(х) асах...
Пометим, как непонятное. Буду ковыряться. Если чего нарою - отпишу. Пока примем как рабочую версию, что не отображает, т.к. ловить полуоткрытые сессии точно ловит.
|
06 май 2009, 16:39 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 2 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Steel901 и гости: 41 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|