Сообщения без ответов | Активные темы Текущее время: 21 сен 2020, 22:52



Ответить на тему  [ Сообщений: 9 ] 
Задачка про контроль за полуоткрытыми сессиями 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Пусть есть пограничный маршрутизатор с настроенным межсетевым экраном (ip inspect)
Задача: сделать так, чтобы полуоткрытые (embryonic) TCP-сессии начинали удаляться при достижении общего порога в 1000 полуоткрытых сессий и одновременно 1-минутного (one-minute) порога в 1000 полуоткрытых сессий. Нижний порог (когда маршрутизатор должен перестать принудительно удалять полуоткрытые сессии) - 800 сессий

Нужно написать несколько строчек конфига.
Дерзайте!


24 дек 2008, 22:49
Профиль

Зарегистрирован: 29 дек 2008, 18:40
Сообщения: 13
ip inspect tcp max-incomplete low 800
ip inspect tcp max-incomplete high 1000
ip inspect one-minute low 800
ip inspect one-minute high 1000

Наверное так


29 дек 2008, 18:50
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Привожу контр-пример:

проходит 2 минуты, максимум достигает 1000, одноминутное кол-во едва домтигает 500 :) Но при этом удаление начнётся.


А надо, чтобы удаление началось только при выполнении обоих критериев :)

А то слишком просто, прям из конфиг-гайда :)


30 дек 2008, 18:58
Профиль

Зарегистрирован: 18 май 2009, 12:34
Сообщения: 277
ммм.. ну решение то будет? :)


15 сен 2009, 14:04
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
ip inspect tcp synwait-time 60
соотв если за минуту не получает ack на наш syn/ack embryonic рвется


15 сен 2009, 14:20
Профиль WWW

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
Но по умолчанию tcp synwait-time is 30 sec. Соотвественно не совсем понятно, как "проходит 2 минуты, максимум достигает 1000, одноминутное кол-во едва домтигает 500".


15 сен 2009, 15:10
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
кстати да
R2(config)#do sh run | s inspect
( вбил что хоть что то выводилось по sh ip inspect all )
ip inspect tcp max-incomplete host 30 block-time 0

R2(config)#do sh ip inspect all
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [unlimited : unlimited] connections
max-incomplete sessions thresholds are [unlimited : unlimited]
max-incomplete tcp connections per host is 30. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec <---
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes
dns-timeout is 5 sec
R2(config)#


15 сен 2009, 15:15
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
ip inspect synwait-time 60

Тогда будет одновременно.


15 сен 2009, 16:10
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
i won i won ;p


15 сен 2009, 16:17
Профиль WWW
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB