connection-limit
- モード
- ファイアウォールモード
- カテゴリー
- UTM / ファイアウォール
構文
(config-firewall)# connection-limit [<1-65535>] from SRC_ENTITY with limit <1-4096>
(config-firewall)# no connection-limit {<1-65535>|all}
コマンド説明
ファイアウォールセッションリミットルールを追加する。no形式で実行した場合は指定したルールを削除する。
本コマンドを使うことで、送信元IPアドレスごとにセッション数の上限(TCPとUDPの合計セッション数)を設定することができる。詳細は解説編を参照。
パラメーター
<1-65535>- ルール番号。省略時はリストの最後尾に新規ルールが追加される。このときのルール番号決定方法については「注意・補足事項」を参照
from SRC_ENTITY- 送信元エンティティー名(show entityで一覧表示可能)。サブネットなど複数アドレスに対応するエンティティーを指定した場合は、該当範囲内の個々の送信元アドレスに対して、本コマンドで指定した最大セッション数が適用される
with limit <1-4096>- 最大セッション数(TCPとUDPの合計セッション数)
all- no形式ですべてのルールを削除するときに指定する
使用例
public.netA内の各ホストからのファイアウォールセッションをそれぞれ10セッションまでに制限する。awplus(config-firewall)# connection-limit from public.netA with limit 10
注意・補足事項
ファイアウォールルール(rule)とファイアウォールセッションリミットルール(本コマンド)のルール番号は独立しており関係がない。ルールの処理順序については解説編を参照。
本コマンドでルール番号を指定しなかったときはリストの最後尾に新規ルールが追加される。このときのルール番号は次のようにして決まる。
- (1) 原則:既存の最後尾ルールより大きい直近の10の倍数になる
- ルールが存在しない状態でルール番号を省略して作成したルールの番号は10(有効範囲内にある最小の10の倍数)
- 最後尾のルール番号が10~18の状態でルール番号を省略して作成したルールの番号は20
- ルールが存在しない状態でルール番号を省略して作成したルールの番号は10(有効範囲内にある最小の10の倍数)
- (2) 例外:既存の最後尾ルール番号の一の位が9のときは、「+11」した値(直近ではなくその次の10の倍数)になる
- 最後尾のルール番号が19の状態でルール番号を省略して作成したルールの番号は20ではなく30(=19+11)
※この動作は、既存の最後尾ルールと新規に追加したルールの間に、後から別のルールを挿入する余地を残すため。
- 最後尾のルール番号が19の状態でルール番号を省略して作成したルールの番号は20ではなく30(=19+11)
- その他:前述の仕様 (1) (2) により、最後尾のルール番号が65529以上の時は、ルール番号を省略して新規ルールを追加することはできない(65529 + 11 = 65540となりルール番号の最大値 65535 を超えてしまうため)。その場合はルール番号を明示的に指定して追加すること。
本コマンドでルールを追加、変更、削除しても、すでに確立しているセッションには影響しない。
本機能はTCPとUDPのみを監視しており、他のプロトコルは監視しない。また、本機能有効時は1秒間あたりのTCP/UDPセッション登録数に制限がかかる(TCP、UDPそれぞれ50セッション/秒)。
no-state-enforcementパラメーターを含むファイアウォールルール(rule)にマッチする通信には、ファイアウォールセッションリミットルールは適用されない。