Команда drv_mgr показывает имена поддерживаемых настроек, режим доступа к ним, размер в байтах и диапазон допустимых значений.
Синтаксис drv_mgr |
Список выводимых настроек: List of properties: Name access type size (in bytes) range [min-max]
pcap_minimal_mtu read-only 4 [0-0] fw_tcp_closed_ttl lsp-managed 4 [1-65535] fw_tcp_synsent_ttl lsp-managed 4 [1-65535] fw_tcp_synrcvd_ttl lsp-managed 4 [1-65535] fw_tcp_estab_ttl lsp-managed 4 [1-65535] fw_tcp_fin_ttl lsp-managed 4 [1-65535] fw_tcp_strictness lsp-managed 4 [0-6] fw_tcp_open_max lsp-managed 4 [0-1000000] fw_tcp_half_open_max lsp-managed 4 [0-1000000] fw_tcp_half_open_low lsp-managed 4 [0-1000000] fw_tcp_conn_rate_max lsp-managed 4 unlimited fw_tcp_conn_rate_low lsp-managed 4 unlimited frag_dont_grow_fragments read-write 1 [0-1] frag_minimize_size read-write 1 [0-1] frag_df_options read-write 1 [0-3] frag_reassemble_timeout read-write 1 [0-255] ipsec_breq_max read-write 4 unlimited ipsec_breq_count read-only 4 unlimited ipsec_recursive_policy lsp-managed 1 [0-1] pkt_link_max_pkts read-write 4 [100-10000] pkt_link_max_kbytes read-write 4 [200-20000] |
Описание настроек IPsec драйвера приведено в Таблица 1
Таблица 1
Наименование настройки |
Тип доступа |
Размерность |
Рекомендуе-мые значения |
|
Значение по умолчанию |
Описание |
|||||
frag_dont_grow_fragments |
чтение-запись |
|
0-1 |
0 |
|
Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены следующие значения: 1 – размер фрагментов не будет превышать максимальный размер оригинальных фрагментов 0 – пакет фрагментируется без учета размера оригинальных фрагментов |
|||||
frag_minimize_size |
чтение-запись |
|
0-1 |
0 |
|
Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены следующие значения: 1 – размер фрагментов усредняется, т.е. минимизируется максимальный размер фрагмента при сохранении минимального количества фрагментов 0 – все фрагменты делаются максимального размера, кроме последнего. Пример: MTU – 270, пакет – 276 байтов, заголовок – 20 байтов. Если значение 1, то фрагменты 148 и 148 байтов. Если значение 0, то фрагменты 268 и 28 байтов. |
|||||
frag_df_options |
чтение- запись
|
|
0-3 |
0 |
|
Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены значения, которые определяют выставлять ли DF-бит на фрагментах: 0 – на фрагментах DF-бит всегда сбрасывается 1 – выставлять DF-бит у фрагментов, если оригинальный пакет был фрагментирован, не инкапсулирован в IPsec, и на фрагментах был выставлен DF-бит. Это значение позволяет восстанавливать DF-бит для открытого трафика. Таким образом, хост, отправивший пакет, может проводить MTU discovery для фрагментированных пакетов. 2 – выставлять DF-бит для фрагментированных IPsec-пакетов, если на соответствующем IPsec SA включено MTU discovery. Этот флаг позволяет проводить MTU discovery для фрагментированных пакетов драйверу и избавиться от повторной фрагментации IPsec пакетов: – IPsec-пакет может быть фрагментирован, если в SA установлен режим сброса или копирования DF-бита (DFHandling в LSP). При этом, если установлен режим копирования, в исходном пакете DF-бит должен быть сброшен – сочетание, когда включено MTU discovery и DFHandling = CLEAR имеет смысл только при frag_df_options ≥ 2, т.к. нет смысла проводить MTU discovery, когда DF-бит всегда сброшен. 3 – комбинация 1 и 2. |
|||||
frag_reassemble_timeout |
чтение запись |
секунды |
0-255 |
0 |
|
Время жизни фрагмента в секундах. Если значение 0 – таймаут не задается. Если параметр больше 0, то данное значение используется наряду с TTL фрагмента, чтобы определить, когда его можно удалить из очереди. А именно, фрагмент будет удалён по прошествии указанного количества секунд (но не больше TTL). Рекомендуется устанавливать значение не более 2-3 секунд. |
|||||
ipsec_breq_max |
чтение запись |
|
unlimited |
1000 |
|
Максимальное количество одновременно выполняющихся запросов на создание SA bundle. В LSP можно задать отдельные ограничения для каждого правила. |
|||||
ipsec_breq_count |
чтение |
|
unlimited |
0 |
|
Текущее количество одновременно выполняющихся запросов на создание SA bundle. |
|||||
ipsec_recursive_policy |
чтение |
|
0-1 |
0 |
|
Включение/выключение рекурсивного режима поиска правил IPsec для обработки пакетов. Настраивается в LSP через атрибут AllowNestedIPsec. |
|||||
pcap_minimal_mtu |
чтение |
|
|
1500 |
|
Минимальное значение MTU для всех сетевых интерфейсов. Значение вычисляется на основании параметров интерфейсов, доступных для драйвера. Таким образом, минимальное значение MTU, используемое IP-драйвером может отличаться. |
|||||
pkt_link_max_pkts |
чтение запись |
пакеты |
100-10000 |
100 пакетов |
|
Максимальный размер (в пакетах) очереди обмена (packet link) между драйвером-перехватчиком и службой tcp-инкасуляции/smart firewall. |
|||||
pkt_link_max_kbytes |
чтение запись |
килобайты |
200-20000 |
200 килобайт |
|
Максимальный размер (в килобайтах) очереди обмена (packet link) между драйвером-перехватчиком и службой tcp-инкасуляции/smart firewall. |
|||||
fw_tcp_closed_ttl |
чтение |
секунды |
1-65535 |
5 |
|
fw_tcp_synsent_ttl |
чтение |
секунды |
1-65535 |
30 |
|
fw_tcp_synrcvd_ttl |
чтение |
секунды |
1-65535 |
60 |
|
fw_tcp_estab_ttl |
чтение |
секунды |
1-65535 |
3600 |
|
fw_tcp_fin_ttl |
чтение |
секунды |
1-65535 |
30 |
|
fw_tcp_strictness |
чтение |
|
0-6 |
3 |
|
Уровень "жесткости" к различным ситуациям, которые воспринимаются шлюзом как ошибочные |
|||||
fw_tcp_open_max |
чтение |
|
0-1000000 |
65536 |
|
Максимальное количество разрешенных TCP-соединений. При превышении данного предела новые TCP-соединения будут отвергаться. Настраивается в LSP. |
|||||
fw_tcp_half_open_max |
чтение |
|
0-1000000 |
500 |
|
Максимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого начинается их удаление при появлении нового запроса на соединение. Настраивается в LSP. |
|||||
fw_tcp_half_open_low |
чтение |
|
0-1000000 |
400 |
|
Минимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого прекращается их удаление. Настраивается в LSP. |
|||||
fw_tcp_conn_rate_max |
чтение |
|
unlimited |
500 |
|
Максимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой начинается их удаление. Настраивается в LSP. |
|||||
fw_tcp_conn_rate_low |
чтение |
|
unlimited |
400 |
|
Минимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой прекращается их удаление. Настраивается в LSP. |
|||||
Межсетевой экран определяет состояние TCP-cоединения для каждого из партнеров и, в зависимости от этого, выставляет время жизни записи о соединении. В Таблице 2 приведены стандартные названия для состояний TCP и соответствующие параметры drv_mgr, задающие время жизни. Также в таблице приведены соответствия параметров drv_mgr атрибутам LSP.
Таблица 2
Состояние |
Атрибут LSP |
Структура атрибута LSP |
Параметр в drv_mgr (только для просмотра) |
Параметры TCP, задающие время жизни соединения |
|||
CLOSED, LISTEN |
TCPClosedTimeout |
Firewall |
fw_tcp_closed_ttl |
SYNSENT |
TCPSynSentTimeout |
Firewall |
fw_tcp_synsent_ttl |
SYNRCVD |
TCPSynRcvdTimeout |
Firewall |
fw_tcp_synrcvd_ttl |
ESTAB |
TCPEstablishedTimeout |
Firewall |
fw_tcp_estab_ttl |
FINWAIT-1, FINWAIT-2, CLOSING, TIMEWAIT, LASTACK, CLOSED |
TCPFinTimeout |
Firewall |
fw_tcp_fin_ttl |
Параметры TCP, ограничивающие количество сессий |
|||
- |
TCPStrictnessLevel
|
Firewall |
fw_tcp_strictness |
- |
TCPSessionsMax
|
Firewall |
fw_tcp_open_max |
- |
TCPHalfOpenMax
|
Firewall |
fw_tcp_half_open_max |
- |
TCPHalfOpenLow
|
Firewall |
fw_tcp_half_open_low |
- |
TCPSessionRateMax
|
Firewall |
fw_tcp_conn_rate_max |
- |
TCPSessionRateLow
|
Firewall |
fw_tcp_conn_rate_low |
Прочие параметры |
|||
- |
TCPStrictnessLevel |
Firewall |
fw_tcp_strictness |
- |
AllowNestedIPsec
|
Global |
ipsec_recursive_policy |