У меня есть Juniper Netscreen SSG-140.
Экспериментируя с услугой VoIP, я определил настраиваемую политику, которая должна была использоваться, чтобы разрешить отправку возможных используемых портов обратно на сервер VoIP из систем, подключенных через Интернет. Поскольку в прошлом у меня были проблемы с выходом из строя систем VoIP, когда их сеансы UDP истекали быстрее, чем сгенерировались их пакеты поддержки, я установил тайм-аут для этой настраиваемой службы как «никогда».
После долгих экспериментов я заметил, что количество моих сеансов на брандмауэре выросло с пары тысяч до более 36000.
После обсуждения с «экспертом» по VoIP я установил тайм-аут 30 минут; тем не менее, все сеансы, настроенные в процессе экспериментов, все еще существуют, более чем 3 дня спустя.
Есть ли способ заставить эти старые сеансы истечь и удалить их из таблицы сеансов, или я хочу сбросить свой брандмауэр?
(Фактически, оба брандмауэра - они в кластере.)
Вы можете использовать clear session
команда. Уловка в том, какие сеансы очистить. Легкий выход - это clear session all
, но это почти так же плохо, как сброс всего брандмауэра (за исключением того, что пользователи смогут восстановить свои соединения немедленно, не дожидаясь, пока брандмауэр снова включится).
Посмотрите на варианты clear session
команда. В зависимости от вашей ситуации вы, вероятно, можете сузить сеансы до очистки на основе src-ip
, dst-port
, и т.д.
Ты можешь использовать get session
чтобы увидеть все сеансы. Поскольку это очень большой список, вы можете сделать get session > tftp x.x.x.x filename
в TFTP копию сеансовой таблицы где-нибудь, которую можно отсортировать в автономном режиме.