OpenForum RSS: PIX: ограничение сессий SMTP https://www.opennet.me/openforum/vsluhforumID6/18022.html Уважаемые цисководы, начал только разбираться с PIX и сразу возникла следующая задача. Вопрос в следующем: умеет ли PIX ограничивать число сессий SMTP?<br>у меня PAT используется. <br> PIX: ограничение сессий SMTP (chocholl) https://www.opennet.me/openforum/vsluhforumID6/18022.html#10 Thu, 22 Jan 2009 12:21:25 GMT &gt;еще вопрос появился по этой теме: <br>&gt;не умеет ли пикс ограничивать эти самые конекты в ед. времени? <br>&gt;<br>&gt;например: 10 конектов для хостов в минуту <br><br>нет.<br> PIX: ограничение сессий SMTP (Avanty) https://www.opennet.me/openforum/vsluhforumID6/18022.html#9 Tue, 20 Jan 2009 07:24:46 GMT еще вопрос появился по этой теме:<br>не умеет ли пикс ограничивать эти самые конекты в ед. времени?<br><br>например: 10 конектов для хостов в минуту<br><br><br> PIX: ограничение сессий SMTP (chocholl) https://www.opennet.me/openforum/vsluhforumID6/18022.html#8 Mon, 19 Jan 2009 13:13:12 GMT &gt;[оверквотинг удален]<br>&gt;pixfirewall(config-cmap)# match port tcp eq 25 <br>&gt;<br>&gt;pixfirewall(config)# policy-map имя <br>&gt;pixfirewall(config-pmap)# class имя класс-мапы <br>&gt;pixfirewall(config-pmap-c)# set connection per-client-max кол-во соединений <br>&gt;<br>&gt;pixfirewall(config)# service-policy имя полиси-мапы interface outside <br>&gt;<br>&gt;<br>&gt;единственное пока не разобрался с опцией csc &lt;fail-close &#124; fail-open&gt;<br><br>csc это модуль для фильтрации спама/вирусов и т.д.<br>а комманда отправляет поток трафика на процесинг этого модуля.<br> PIX: ограничение сессий SMTP (Avanty) https://www.opennet.me/openforum/vsluhforumID6/18022.html#7 Mon, 19 Jan 2009 11:26:46 GMT &gt;&gt;в service_policy можно задать class, который описывает конкретный протокол или порт. <br>&gt;<br>&gt;подскажите, где именно? <br><br>все, нашел сам.<br>Кому интересно синтаксис такой :<br><br>pixfirewall(config)# class-map имя<br>pixfirewall(config-cmap)# match port tcp eq 25<br><br>pixfirewall(config)# policy-map имя <br>pixfirewall(config-pmap)# class имя класс-мапы <br>pixfirewall(config-pmap-c)# set connection per-client-max кол-во соединений<br><br>pixfirewall(config)# service-policy имя полиси-мапы interface outside<br><br><br>единственное пока не разобрался с опцией csc &lt;fail-close &#124; fail-open&gt;<br> PIX: ограничение сессий SMTP (chocholl) https://www.opennet.me/openforum/vsluhforumID6/18022.html#6 Mon, 19 Jan 2009 11:19:18 GMT &gt;&gt;в service_policy можно задать class, который описывает конкретный протокол или порт. <br>&gt;<br>&gt;подскажите, где именно? <br><br>для ASA:<br><br>access-list RDP_ANY_ANY extended permit tcp any any eq 3389 <br>access-list RDP_ANY_ANY extended permit tcp any eq 3389 any <br><br><br>class-map rdp<br> match access-list RDP_ANY_ANY<br><br>policy-map tcp_policy<br> class rdp<br> set connection ?<br> advanced-options Configure advanced connection parameters<br> conn-max Keyword to set the maximum number of all<br> simultaneous connections that are allowed. Default<br> is 0 which means unlimited connections.<br> decrement-ttl Decrement Time to Live field<br> embryonic-conn-max Keyword to set the maximum number of TCP embryonic<br> connections that are allowed. Default is 0 which<br> means unlimited connections.<br> per-client-embryonic-max Keyword to set the maximum number of TCP PIX: ограничение сессий SMTP (Avanty) https://www.opennet.me/openforum/vsluhforumID6/18022.html#5 Mon, 19 Jan 2009 10:23:46 GMT &gt;в service_policy можно задать class, который описывает конкретный протокол или порт. <br><br>подскажите, где именно?<br> PIX: ограничение сессий SMTP (chocholl) https://www.opennet.me/openforum/vsluhforumID6/18022.html#4 Mon, 19 Jan 2009 09:24:02 GMT &gt;<br>&gt;&gt;не помню как в пиксах, но в железке, которая от него произошла <br>&gt;&gt;(АСА) это делалось через service policy. <br>&gt;<br>&gt;но насколько я изучил это можно сделать двумя средствами: <br>&gt;1. при конфиг-нии nat можно задать кол-во сессий <br>&gt;2. через service policy <br>&gt;<br>&gt;но в обоих этих вариантах задаешь просто число соединений, не подразделяя их <br>&gt;по протоколам <br><br>в service_policy можно задать class, который описывает конкретный протокол или порт.<br><br> PIX: ограничение сессий SMTP (Avanty) https://www.opennet.me/openforum/vsluhforumID6/18022.html#3 Fri, 16 Jan 2009 12:06:47 GMT <br>&gt;не помню как в пиксах, но в железке, которая от него произошла <br>&gt;(АСА) это делалось через service policy. <br><br>но насколько я изучил это можно сделать двумя средствами:<br>1. при конфиг-нии nat можно задать кол-во сессий<br>2. через service policy<br><br>но в обоих этих вариантах задаешь просто число соединений, не подразделяя их по протоколам<br><br> PIX: ограничение сессий SMTP (Аноним) https://www.opennet.me/openforum/vsluhforumID6/18022.html#2 Fri, 16 Jan 2009 12:00:14 GMT &gt;&gt;Уважаемые цисководы, начал только разбираться с PIX и сразу возникла следующая задача. <br>&gt;&gt;Вопрос в следующем: умеет ли PIX ограничивать число сессий SMTP? <br>&gt;&gt;у меня PAT используется. <br>&gt;<br>&gt;не помню как в пиксах, но в железке, которая от него произошла <br>&gt;(АСА) это делалось через service policy. <br><br>есть ограничение на общее кол-во сессиий tcp для конкретной статики<br>