Таймауты PF

                                                                                    Опция    timeout   устанавливает   таймауты   и   связанные   опции    для    различных взаимодействий с записями в таблице состояний. Большинство доступных параметров это конкретный протокол значения хранящиеся в  секундах и префиксах tcp., udp., icmp., и другие. Тем не менее, adaptive.start  и adaptive.end обозначает количество записей в таблице   состояний.   Следующие  опции   таймаутов   влияют   на   таблицу   состояний,

использования памяти и некоторой степени скорости поиска:

·                  adaptive.start    и    adaptive.end    значения    устанавливают    ограничения    для сворачивания  значения  таймаута,  когда  число   записей  в  таблице  состояний достигают значения adaptive.start. Когда  число состояний достигает adaptive.end, все таймауты установлены в 0, по существу, истекают все состояния немедленно. По умолчанию есть  6000 и 12000 (в расчете как 60 и 120 процентов лимита состояния),   соответственно.  Эти  параметры  тесно  связаны  с  пулом  памяти предельных параметров, установленные через опцию предела.

·                  Значение interval обозначает количество секунд между чистками  просроченных

состояний и фрагментов. По умолчанию 10 секунд.

·                  Значение frag обозначает количество секунд в течение которого  фрагмент будет хранится в разобранном состоянии, прежде чем будет отброшен. По умолчанию 30 секунд.

·                  Если установлен, src.track обозначает количество секунд, источник отслеживания,

данные будут храниться после последнего истекшего состояния. По умолчанию 0 секунд.

Вы можете инспектировать текущие настройки для всех параметров timeout  c  pfctl –s timouts.   Например,   следующее   отображение   показывает   систему   с   запущенными значениями по умолчанию.

$ sudo pfctl -s timeouts tcp.first                   120s tcp.opening                  30s tcp.established           86400s tcp.closing                 900s tcp.finwait                  45s tcp.closed                   90s Getting Your Setup Just Right 155

tcp.tsdiff                   30s udp.first                    60s udp.single                   30s udp.multiple                 60s icmp.first                   20s

icmp.error                   10s other.first                  60s other.single                 30s other.multiple               60s frag                         30s interval                     10s

adaptive.start             6000 states adaptive.end              12000 states src.track                     0s

Эти  опции  могут быть  использованы для настройки вашей системы  для  повышения производительности. Тем не менее, изменения протокола настройки отдельных значений по умолчанию создает значительный риск, что действительно, но неактивные соединения могут быть удалены или заблокированы преждевременно напрямую.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий