|
01.关于单IP连接数限制的问题 本人在防火墙处,“最大允许的 TCP 单机并发连接数”为100;“最大允许的 UDP 单机 并发连接数”为100, 但是在“IP NAT连接数”那里却不是在200以内,有的IP有上200以 上的,严重占用资源。我想限制如何设置? TCP/UDP连接数清理并非实时的,因为其消耗资源比较大,所以您看到有的IP为200以上 , 但是过一会它会自动削减为100,但是削减后,此IP的连接还可会继续增加,只要连接数超过设定的, 系统就会下次再清理。 02.限制外部IP通过路由: 我的想法是周边网吧不允许访问到我的路由。 操作:防火抢-IP/域名过滤-启用IP域名过滤 但是规则要求 域名/IP地址/子网地址 我只想限制一个ip或多个ip 那没有域名,也不知道子网 请问怎么设置? 请参照ACL的功能设置:http://docs./chapter01/dc-firewall.html#dc-firewall-acl 03.为什么我的防火墙日志中总出现tcp_syn_flood attack的攻击日志? 通常出现这种日志都是因为你限制了单机的连接数,而当用户的实际连接数超出了你的限制就会出现如上日志, 因此建议用户将单机的连接数设置一个合适的值,用海蜘蛛的建议值即可。 出现上述日志提示,你可以先查看信息检测中的NAT信息,查看该IP的连接数,查看该用户是否在大流量下载。 04.关于防火墙基本安全高级模式中的MSS与MTU的差别 mtu是网络传输最大报文包。 mss是网络传输数据最大值。 mss加包头数据就等于mtu. 简单说拿TCP包做例子。 报文传输1400字节的数据的话,那么mss就是1400,再加上20字节IP包头,20字节tcp包头,那么mtu就是1440 当然传输的时候其他的协议还要加些包头在前面,总之mtu就是总的最后发出去的报文大小。mss就是你需要发出去的 数据大小。 |
|
|
