Контрольно-пропускной пункт сбрасывая трафик
У меня R65 установлен на Solaris 9, на Sun4u. В настоящее время он сталкивается с проблемой, когда во время длинных соединений (я думаю. Похоже, что это не относится ко всем соединениям, и я не могу понять, в чем разница между теми, кого это касается, и теми, кто не является), он прекращает пропуск трафика после определенный период времени. Нет трафика зарегистрировано как отброшенный. Когда я использую fw monitor -p All, я вижу, что трафик достигает пятой стадии исходящего (fw VM outbound) и больше не идет. Однако начало соединения настроено правильно, и я вижу, что соединение зарегистрировано как переданное в Smart Tracker. fw ctl debug, похоже, не указывает мне на что-то полезное, и fw debug fwd. Есть ли что-то очевидное, что мне не хватает, что может быть причиной этого?
2 ответа
Нашел это. Похоже, что контрольная точка поддерживает MTU отдельно от ОС, и пакеты, которые нарушают это, незаметно отбрасываются. Это объясняет, почему ничего не регистрировалось в интеллектуальном трекере, и почему вещи отбрасывались после пятого этапа (им не удавалось передать Wire VM за границу). Это можно изменить с помощью
fw ctl set int fwtcpstr_max_window <number in decimal>
Если вы измените это, вам нужно будет обновить настройки, чтобы они снова применялись при перезагрузке. Они устанавливаются в $FWDIR/conf/modules/fwkern.conf, с
fwtcpstr_max_window=<number in hex>
(Спасибо тем на freenode, которые объяснили мне это)
Неисправные соединения простаивают или трафик проходит между ними при возникновении проблемы? Большинство брандмауэров имеют функцию ожидания простоя сеанса для соединений, которые не пропускают трафик. Это помогает брандмауэру восстанавливать ресурсы из незанятых соединений, таких как память, процессор, записи в таблице состояний и т. Д.