Linux

如何測量 NAT 防火牆上的 TCP 超時限制以設置保活間隔?

  • March 11, 2010

最近在 $WORK 安裝了一個新的 (NAT) 防火牆設備。從那以後,我遇到了很多網路超時和中斷,尤其是對於需要伺服器思考一下而沒有響應的操作(svn update、rsync 等)。VPN 上的入站 SSH 會話也經常超時。

這清楚地表明我需要調整相關伺服器上的 TCP(和 ssh)保活時間,以減少這些錯誤。

但是我應該使用什麼合適的值?

假設我在防火牆的兩側都有可以建立連接的機器,有沒有辦法測量這個防火牆的 TCP 連接時間限制可能是多少?

理論上,我會以逐漸增加的間隔發送一個數據包,直到連接失去。任何可能有幫助的工具(免費或開源最好,但我願意接受其他建議)?

該設備不在我的控制之下,所以我不能只獲得價值,儘管我試圖詢問它目前是什麼以及是否可以增加它。

我在想你只需要從一台機器連接到另一台機器,同時在其中一台機器上執行數據包擷取。創建一個 FTP、HTTP、SSH 等會話,然後讓它坐在那裡直到超時。

當您說“理​​論上,我會以逐漸增加的間隔發送數據包直到連接失去”時,我不確定您的意思,但我認為您除了建立連接之外不需要做任何事情,擷取流量,讓它靜置直到超時。空閒會話發生超時,如果您將數據發送到另一端,它可能會重置計時器,因為會話將不再空閒。

當超時時,查看從第一個數據包(三向握手開始)到連接終止(您可能會或可能不會看到 RST)的擷取時間戳。

除非任何應用程序層超時(取決於您建立的連接類型),這應該讓您了解超時設置的配置。

引用自:https://serverfault.com/questions/120947