Время жизни и обновление текущих IP-соединений

Время жизни IP-соединения

Когда соединение зарегистрировано в списке текущих соединений, все входящие и исходящие пакеты с соответствующими IP-адресами и номерами портов источника и назначения "попадают" в данное IP-соединение. Над пакетами выполняется одно из действий: "Разрешить", "Запретить" или "Модифицировать". После того как пакеты перестают поступать в соединение, оно удаляется из списка текущих соединений. Интервал времени между отправкой или получением последнего пакета и удалением соединения, называется таймаутом соединения. Интервал времени между регистрацией соединения в списке текущих IP-соединений и удалением соединения - временем жизни соединения.

Таймаут IP-cоединения определяется используемым протоколом, а также, в случае протокола TCP, флагами в заголовке пакетов. Для протоколов UDP, ICMP и прочих, за исключением TCP, таймаут соединения равен одной минуте. То есть если через соединение в течение одной минуты не было передано или принято ни одного пакета, соединений удаляется из списка текущих.

Таймаут IP-соединения для проткола TCP зависит от флагов в TCP-заголовке принимаемых или передаваемых пакетов. Если в заголовке установлен флаг SYN, таймаут для соединения равер четырем минутам. То есть, если попытка установления соединения была неуспешно: было послано несколько пакетов c флагом SYN, но ответа - не поступило, IP-соединение будет удалено через четыре минуты после прекращение попыток установления соединения.

Если соединение - установлено, в TCP-заголовке принимаемых и передаваемых пакетов флаг SYN - сброшен, таймаут жизни соединения равем 18 часам. Это полезно для таких протоколов прикладного уровня как Telnet. В этом случае соединение остается открытым в течение длительного времени, даже при отсутствии сетевой активности.

Если соединение закрывается или сбрасывается одной из сторон, через соединение проходит пакет с флагом FIN или RST. В этом случае, таймаут для соединения устанавливается равным четырем минутам, и уже не может быть изменен флагами в последующих пакетах. Таким образом, после запроса на закрытие соединения у участников есть четыре минуты, чтобы корректно его обработать, после чего IP-соединение будет удалено из списка текущих соединений.

Обновление текущих IP-соединений.

Когда происходит какое-либо изменение настроек сетевого экрана: добавление, удаление или отключение пользователей, правил; изменение их параметров, эти изменения оказывают влияние не только на новые IP-соединения, но и на текущие. Например, при удалении или отключении или изменении параметров пользователя, а также при добавлении нового пользователя происходит попытка перерегистрировать его соединения на других пользователей в соответствии с приоритетом способов аутентификации.

Если новый пользователь найден, и в его группе есть правила с теми же действиями для данного IP-соединения, то в в параметрах соединения изменяется идентификатор пользователя и/или правила, а действие остается неизменным. При этом в журнале создается новая запись. Тоже самое происходит и в случае обновления IP-соединения с действием "Модифицировать": если до и после обновления приписанное соединению действие не изменилось, а также не изменились параметры действия: IP адрес и номер порта.

Общая логика присвоения действия IP-соединению при обновлении приведена ниже:

Применяемое действие:после обновления Разрешить Запретить1 Модифицировать
до обновлениярезультирующее
РазрешитьРазрешитьЗапретитьЗапретить
ЗапретитьЗапретитьЗапретитьЗапретить
МодифицироватьЗапретитьЗапретитьМодифицировать/Запретить2

Примечания:
  1. Если после обновления для IP-соединения не найден другой пользователь или правило, то к соединению применяется действие "Запретить"
  2. Если, несмотря на неизменность действия "Модифицировать" до и после обновления, изменился один из модифицируемых параметров, к IP-соединению применяется действие "Запретить"