介绍
/ip firewall connection
有几种方法可以看到哪些连接是通过路由器进行的。
在Winbox防火墙窗口,切换到 "连接 "选项卡查看当前进出路由器的连接。看起来像这样:
属性
连接表中的所有属性都是只读的
| 属性 | 说明 |
|---|---|
| assured (yes | no) | 表示这个连接是有保证的,如果达到可能的最大跟踪连接数,不会被删除。 |
| confirmed (yes | no) | 连接已确认,有数据包从设备发出。 |
| connection-mark (string) | 由mangle规则设置的连接标记。 |
| connection-type (pptp | ftp) | 连接类型,如果连接跟踪无法确定预定义的连接类型,则属性为空。 |
| dst-address (ip[:port]) | 目标地址和端口(如果协议是基于端口的)。 |
| dstnat (yes| no) | 一个连接经过了DST-NAT(例如,端口转发)。 |
| dying (yes| no) | 连接超时,该连接快要死亡。 |
| expected (yes| no) | 连接是用连接助手(预定义的服务规则)设置的。 |
| fasttrack (yes| no) | 连接是否是快速跟踪的。 |
| gre-key (integer) | GRE Key字段内容。 |
| gre-protocol (string) | 封装的有效载荷协议。 |
| gre-version (string) | 连接中使用了GRE协议的一个版本。 |
| icmp-code (string) | ICMP代码域 |
| icmp-id (integer) | 包含ICMP ID |
| icmp-type (integer) | ICMP类型编号 |
| orig-bytes (integer) | 使用特定连接从源地址发出的字节数。 |
| orig-fasttrack-bytes (integer) | 使用特定连接从源地址发出的快速跟踪字节数。 |
| orig-fasttrack-packets (integer) | 使用特定连接从源地址发出的快速跟踪数据包的数量。 |
| orig-packets (integer) | 使用特定连接从源地址发出的数据包数量。 |
| orig-rate (integer) | 使用特定连接从源地址发出的数据包速率。 |
| protocol (string) | IP协议类型 |
| repl-bytes (integer) | 使用特定连接从目标地址接收的字节数。 |
| repl-fasttrack-bytes (string) | 使用特定连接从目标地址接收的快速跟踪字节数。 |
| repl-fasttrack-packets (integer) | 使用特定连接从目标地址收到的快速跟踪数据包数量。 |
| repl-packets (integer) | 使用特定连接从目标地址收到的数据包数量。 |
| repl-rate (string) | 使用特定连接从目标地址接收数据包的数据速率。 |
| reply-dst-address (ip[:port]) | 预计返回数据包的目标地址(和端口)。通常与 "src-address: port "相同。 |
| reply-src-address (ip[:port]) | 返回数据包的源地址(和端口)。通常与 "dst-address: port "相同。 |
| seen-reply (yes | no) | 目标地址已回复源地址。 |
| src-address (ip[:port]) | 源地址和端口(如果协议是基于端口的)。 |
| srcnat (yes| no) | 连接正在通过SRC-NAT,包括通过NAT伪装的数据包。 |
| tcp-state (string) | TCP连接的当前状态: - "已建立" - "时间等待" - "关闭" - "已同步发送" - "已同步接收" |
| timeout (time) | 连接从连接列表中删除后的时间。 |
连接跟踪设置
/ip firewall connection tracking
属性
| 属性 | 说明 |
|---|---|
| enabled (yes | no | auto; Default: auto) | 禁用或启用连接跟踪。禁用连接跟踪会导致一些防火墙功能停止工作。参见受影响的功能的 列表。从v6.0rc2开始,默认值为自动。意味着连接跟踪被禁用,直到至少有一条防火墙规则被添加。 |
| loose-tcp-tracking (yes; Default: yes) | 禁止拾取已建立的连接。 |
| tcp-syn-sent-timeout (time; Default: 5s) | TCP SYN超时。 |
| tcp-syn-received-timeout (time; Default: 5s) | TCP SYN超时。 |
| tcp-established-timeout (time; Default: 1d) | 已建立的TCP连接超时。 |
| tcp-fin-wait-timeout (time; Default: 10s) | |
| tcp-close-wait-timeout (time; Default: 10s) | |
| tcp-last-ack-timeout (time; Default: 10s) | |
| tcp-time-wait-timeout (time; Default: 10s) | |
| tcp-close-timeout (time; Default: 10s) | |
| udp-timeout (time; Default: 10s) | 指定UDP连接在一个方向上看到数据包的超时。 |
| udp-stream-timeout (time; Default: 3m) | 指定UDP连接在两个方向上看到数据包的超时。 |
| icmp-timeout (time; Default: *10s) | ICMP连接超时 |
| generic-timeout (time; Default: 10m) | 所有其他连接项的超时。 |
只读属性
| 属性 | 说明 |
|---|---|
| max-entries (integer) | 连接跟踪表可容纳的最多条目数量。这个值取决于RAM大小。注意,系统在启动时不会创建一个最大的连接跟踪表,如果情况需要,并且路由器还有空余内存,可以增加最大条目数量。 |
| total-entries (integer) | 当前连接表拥有的连接数量。 |