connection-limit

モード: ファイアウォールモード
カテゴリー: UTM / ファイアウォール

(config-firewall)# connection-limit [<1-65535>] from SRC_ENTITY with limit <1-4096>

(config-firewall)# no connection-limit {<1-65535>|all}

ファイアウォールセッションリミットルールを追加する。
no形式で実行した場合は指定したルールを削除する。

本コマンドを使うことで、送信元IPアドレスごとにセッション数の上限を設定することができる。

`<1-65535>`	ルール番号。省略時はリストの最後尾に新規ルールが追加される。このときのルール番号決定方法については「注意・補足事項」を参照
`from SRC_ENTITY`	送信元エンティティー名（show entityで一覧表示可能）。サブネットなど複数アドレスに対応するエンティティーを指定した場合は、該当範囲内の個々の送信元アドレスに対して、本コマンドで指定した最大セッション数が適用される
`with limit <1-4096>`	最大セッション数
`all`	no形式ですべてのルールを削除するときに指定する

■ public.netA内の各ホストからのファイアウォールセッションをそれぞれ10セッションまでに制限する。

awplus(config-firewall)# connection-limit from public.netA with limit 10 ↓

■ 本コマンドでルール番号を指定しなかったときはリストの最後尾に新規ルールが追加される。このときのルール番号は次のようにして決まる。

(1) 原則：既存の最後尾ルールより大きい直近の10の倍数になる
- ルールが存在しない状態でルール番号を省略して作成したルールの番号は10（有効範囲内にある最小の10の倍数）
- 最後尾のルール番号が10～18の状態でルール番号を省略して作成したルールの番号は20
(2) 例外：既存の最後尾ルール番号の一の位が9のときは、「+11」した値（直近ではなくその次の10の倍数）になる
- 最後尾のルール番号が19の状態でルール番号を省略して作成したルールの番号は20ではなく30（=19+11）
  ※この動作は、既存の最後尾ルールと新規に追加したルールの間に、後から別のルールを挿入する余地を残すため。
その他：前述の仕様 (1) (2) により、最後尾のルール番号が65529以上の時は、ルール番号を省略して新規ルールを追加することはできない（65529 + 11 = 65540となりルール番号の最大値 65535 を超えてしまうため）。その場合はルール番号を明示的に指定して追加すること。

■ 本コマンドでルールを追加、変更、削除しても、すでに確立しているセッションには影響しない。

firewall (グローバルコンフィグモード)
    |
    +- connection-limit（ファイアウォールモード）