ASA: Frage zu idle Connections

[opfo 10]

Hallo,

 

ich habe hier eine Cisco ASA 5510 bei der ich etwas mit den "Global Timeouts" herumgespielt habe. Die Option "Connection" habe ich gestern testweise mal auf 15 Stunden hochgedreht. Nun habe ich aber logischerweise sehr viele Verbindungen, welche seit mehren Stunden "idle" sind.

Diesen Connection-Timer habe ich heute morgen wieder auf den Default-Wert ( 1 Stunde ) zurückgesetzt. Leider scheint die ASA aber die alten inaktiven Verbindungen ( älter als eine Stunde ) nicht zu trennen.

Ich habe zwar die Möglichkeit mit clear conn address ... oder clear conn all die Verbindungen zu trennen, mich würde aber interressieren, warum der Default Wert für die alten Verbindungen nicht greift.

Oder gibt es einen Befehl, mit dem ich alle inaktiven Verbindungen welche älter als 1 Stunde sind, trennen kann.

 

 

ASA 5510 Security Plus license - FW: 8.3(1)

 

Vielen Dank und LG

[Wordo 11]

Weil die bestehenden Verbindungen einfach nicht angefasst werden :)

 

Bei Linux mit IPTables und Conntrack auch nicht anders ...

[opfo 10]

also bleibt mir wohl nur ein clear conn all, oder ein Reboot der Firewall.

 

Vielen Dank für die Info.

[Wordo 11]

Oder die 15 Stunden abwarten ...

[Otaku19 33]

das ist nun mal das feature vom fastpath :) bestehende Verbindungen werden nicht mehr "angefasst". Sonst müsste die Firewall jede einzelne Paket einzeln betrachten (+dann natürlich den Kontext der sich aus mehreren dieser Pakete zusammensetzt wie zB bei der Application Inspection)

[opfo 10]

Vielen Dank für eure Hilfe. Nach 15 Stunden wurden auch die restlichen "idle" connections abgebaut. :)