ansolut 10 Geschrieben 25. Mai 2010 Melden Teilen Geschrieben 25. Mai 2010 Hallo Leute, ich hab eine kurze Frage an euch, in der es um das TCP-Timeout der ASA geht. Ist es mit dem Modular Policy Framwork möglich, bestimmte TCP Verbindungen (egal ob auf Dest-IP, Port etc) länger offen zu halten als es der default timer der ASA von 60 min bei TCP erlaubt? Zum Problem: ich kämpfe mit einer Anwendung die keine Keep-Alives sendet und die ASA diese Sessions nach 60 min nichtstun leider closed. (was ja ein richtiges verhalten ist) Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. Mai 2010 Melden Teilen Geschrieben 25. Mai 2010 Schau mal - ob das dir hilft : timeout conn 01:00:00 (default ist der Wert 1h) Zitieren Link zu diesem Kommentar
ansolut 10 Geschrieben 25. Mai 2010 Autor Melden Teilen Geschrieben 25. Mai 2010 Danke für deine Antwort, ich möchte nur spezielle TCP Verbindungen verlängern und nicht alle. Wenn ich den globalen Timer verlänger, wird es passieren, das mir der Sessiontable überlauft. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. Mai 2010 Melden Teilen Geschrieben 25. Mai 2010 Ne da wirst du keine Chance haben - das ist meines wissens nicht vorgesehen. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. Mai 2010 Melden Teilen Geschrieben 25. Mai 2010 sicher geht das, via MPF. legst ne passende Klasse an und in der policy mal mit set connection ? rumspielen, da ist sicher auch was für den timeout dabei. das ganze dann in ne service-policy richtig binden, fertig Zitieren Link zu diesem Kommentar
ansolut 10 Geschrieben 25. Mai 2010 Autor Melden Teilen Geschrieben 25. Mai 2010 sicher geht das, via MPF. legst ne passende Klasse an und in der policy mal mit set connection ? rumspielen, da ist sicher auch was für den timeout dabei. das ganze dann in ne service-policy richtig binden, fertig Das wollte ich hören. Ich werde es mal testen. Danke euch. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. Mai 2010 Melden Teilen Geschrieben 26. Mai 2010 pixfirewall(config-pmap-c)# set connection timeout ? mpf-policy-map-class mode commands/options: dcd Configure dead-connection-detection retry interval. embryonic Configure absolute time after which an embryonic TCP connection will be closed, default is 0:00:30. half-closed Configure idle time after which a TCP half-closed connection will be freed, default is 0:10:00 tcp Configure idle time after which a TCP connection state will be closed, default is 1:00:00 denk ich mir doch das man das konfigurieren kann, in der class-map wirst du dir wohl am leichtesten mit einer ACL tun. Aja,TCP Normalization werkt auf Interface level BIDIREKTIONAL, global gebunden nur ingress Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 26. Mai 2010 Melden Teilen Geschrieben 26. Mai 2010 Hey, seit wann stinkt PIX und Cat OS nicht mehr??? ;) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. Mai 2010 Melden Teilen Geschrieben 26. Mai 2010 seit dem ich das in meiner signatur nicht mehr verwenden darf Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 26. Mai 2010 Melden Teilen Geschrieben 26. Mai 2010 Da hab ich auch schon mal Post bekommen :) Zurueck zum Thema ... welche PIX Version kann das? Erst ab 7 oder? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. Mai 2010 Melden Teilen Geschrieben 26. Mai 2010 würde ich mal sagen das MPF erst mit 7er Einzug gehalten hat Cisco Security Appliance Command Reference, Version 8.0 - same-security-traffic -- show asdm sessions [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.