ansolut 10 Geschrieben 25. Mai 2010 Melden Geschrieben 25. Mai 2010 Hallo Leute, ich hab eine kurze Frage an euch, in der es um das TCP-Timeout der ASA geht. Ist es mit dem Modular Policy Framwork möglich, bestimmte TCP Verbindungen (egal ob auf Dest-IP, Port etc) länger offen zu halten als es der default timer der ASA von 60 min bei TCP erlaubt? Zum Problem: ich kämpfe mit einer Anwendung die keine Keep-Alives sendet und die ASA diese Sessions nach 60 min nichtstun leider closed. (was ja ein richtiges verhalten ist)
blackbox 10 Geschrieben 25. Mai 2010 Melden Geschrieben 25. Mai 2010 Schau mal - ob das dir hilft : timeout conn 01:00:00 (default ist der Wert 1h)
ansolut 10 Geschrieben 25. Mai 2010 Autor Melden Geschrieben 25. Mai 2010 Danke für deine Antwort, ich möchte nur spezielle TCP Verbindungen verlängern und nicht alle. Wenn ich den globalen Timer verlänger, wird es passieren, das mir der Sessiontable überlauft.
blackbox 10 Geschrieben 25. Mai 2010 Melden Geschrieben 25. Mai 2010 Ne da wirst du keine Chance haben - das ist meines wissens nicht vorgesehen.
Otaku19 33 Geschrieben 25. Mai 2010 Melden Geschrieben 25. Mai 2010 sicher geht das, via MPF. legst ne passende Klasse an und in der policy mal mit set connection ? rumspielen, da ist sicher auch was für den timeout dabei. das ganze dann in ne service-policy richtig binden, fertig
ansolut 10 Geschrieben 25. Mai 2010 Autor Melden Geschrieben 25. Mai 2010 sicher geht das, via MPF. legst ne passende Klasse an und in der policy mal mit set connection ? rumspielen, da ist sicher auch was für den timeout dabei. das ganze dann in ne service-policy richtig binden, fertig Das wollte ich hören. Ich werde es mal testen. Danke euch.
Otaku19 33 Geschrieben 26. Mai 2010 Melden Geschrieben 26. Mai 2010 pixfirewall(config-pmap-c)# set connection timeout ? mpf-policy-map-class mode commands/options: dcd Configure dead-connection-detection retry interval. embryonic Configure absolute time after which an embryonic TCP connection will be closed, default is 0:00:30. half-closed Configure idle time after which a TCP half-closed connection will be freed, default is 0:10:00 tcp Configure idle time after which a TCP connection state will be closed, default is 1:00:00 denk ich mir doch das man das konfigurieren kann, in der class-map wirst du dir wohl am leichtesten mit einer ACL tun. Aja,TCP Normalization werkt auf Interface level BIDIREKTIONAL, global gebunden nur ingress
Wordo 11 Geschrieben 26. Mai 2010 Melden Geschrieben 26. Mai 2010 Hey, seit wann stinkt PIX und Cat OS nicht mehr??? ;)
Otaku19 33 Geschrieben 26. Mai 2010 Melden Geschrieben 26. Mai 2010 seit dem ich das in meiner signatur nicht mehr verwenden darf
Wordo 11 Geschrieben 26. Mai 2010 Melden Geschrieben 26. Mai 2010 Da hab ich auch schon mal Post bekommen :) Zurueck zum Thema ... welche PIX Version kann das? Erst ab 7 oder?
Otaku19 33 Geschrieben 26. Mai 2010 Melden Geschrieben 26. Mai 2010 würde ich mal sagen das MPF erst mit 7er Einzug gehalten hat Cisco Security Appliance Command Reference, Version 8.0 - same-security-traffic -- show asdm sessions [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden