Уважаемые цисководы, начал только разбираться с PIX и сразу возникла следующая задача. Вопрос в следующем: умеет ли PIX ограничивать число сессий SMTP?
у меня PAT используется.

• PIX: ограничение сессий SMTP ,chocholl, 14:20 , 16-Янв-09
  • PIX: ограничение сессий SMTP ,Аноним, 15:00 , 16-Янв-09
  • PIX: ограничение сессий SMTP ,Avanty, 15:06 , 16-Янв-09
    • PIX: ограничение сессий SMTP ,chocholl, 12:24 , 19-Янв-09
      • PIX: ограничение сессий SMTP ,Avanty, 13:23 , 19-Янв-09
        • PIX: ограничение сессий SMTP ,chocholl, 14:19 , 19-Янв-09
        • PIX: ограничение сессий SMTP ,Avanty, 14:26 , 19-Янв-09
          • PIX: ограничение сессий SMTP ,chocholl, 16:13 , 19-Янв-09
            • PIX: ограничение сессий SMTP ,Avanty, 10:24 , 20-Янв-09
              • PIX: ограничение сессий SMTP ,chocholl, 15:21 , 22-Янв-09

>Уважаемые цисководы, начал только разбираться с PIX и сразу возникла следующая задача.
>Вопрос в следующем: умеет ли PIX ограничивать число сессий SMTP?
>у меня PAT используется.

не помню как в пиксах, но в железке, которая от него произошла (АСА) это делалось через service policy.

>>Уважаемые цисководы, начал только разбираться с PIX и сразу возникла следующая задача.
>>Вопрос в следующем: умеет ли PIX ограничивать число сессий SMTP?
>>у меня PAT используется.
>
>не помню как в пиксах, но в железке, которая от него произошла
>(АСА) это делалось через service policy.

есть ограничение на общее кол-во сессиий tcp для конкретной статики

>не помню как в пиксах, но в железке, которая от него произошла
>(АСА) это делалось через service policy.

но насколько я изучил это можно сделать двумя средствами:
1. при конфиг-нии nat можно задать кол-во сессий
2. через service policy

но в обоих этих вариантах задаешь просто число соединений, не подразделяя их по протоколам

>
>>не помню как в пиксах, но в железке, которая от него произошла
>>(АСА) это делалось через service policy.
>
>но насколько я изучил это можно сделать двумя средствами:
>1. при конфиг-нии nat можно задать кол-во сессий
>2. через service policy
>
>но в обоих этих вариантах задаешь просто число соединений, не подразделяя их
>по протоколам

в service_policy можно задать class, который описывает конкретный протокол или порт.

>в service_policy можно задать class, который описывает конкретный протокол или порт.

подскажите, где именно?

>>в service_policy можно задать class, который описывает конкретный протокол или порт.
>
>подскажите, где именно?

для ASA:

access-list RDP_ANY_ANY extended permit tcp any any eq 3389                          
access-list RDP_ANY_ANY extended permit tcp any eq 3389 any  

class-map rdp
match access-list RDP_ANY_ANY

policy-map tcp_policy
class rdp
  set connection ?
  advanced-options          Configure advanced connection parameters
  conn-max                  Keyword to set the maximum number of all
                            simultaneous connections that are allowed.  Default
                            is 0 which means unlimited connections.
  decrement-ttl             Decrement Time to Live field
  embryonic-conn-max        Keyword to set the maximum number of TCP embryonic
                            connections that are allowed.  Default is 0 which
                            means unlimited connections.
  per-client-embryonic-max  Keyword to set the maximum number of TCP embryonic
                            connections that are allowed per client machine.
                            Default is 0 which means unlimited connections.
  per-client-max            Keyword to set the maximum number of all
                            simultaneous connections that are allowed per
                            client machine. Default is 0 which means unlimited
                            connections.
  random-sequence-number    Enable/disable TCP sequence number randomization.
                            Default is to enable TCP sequence number
                            randomization
  timeout                   Configure connection timeout parameters

>>в service_policy можно задать class, который описывает конкретный протокол или порт.
>
>подскажите, где именно?

все, нашел сам.
Кому интересно синтаксис такой :

pixfirewall(config)# class-map имя
pixfirewall(config-cmap)# match port tcp eq 25

pixfirewall(config)# policy-map имя  
pixfirewall(config-pmap)# class имя класс-мапы
pixfirewall(config-pmap-c)# set connection per-client-max кол-во соединений

pixfirewall(config)# service-policy имя полиси-мапы interface outside

единственное пока не разобрался с опцией csc <fail-close | fail-open>

>[оверквотинг удален]
>pixfirewall(config-cmap)# match port tcp eq 25
>
>pixfirewall(config)# policy-map имя
>pixfirewall(config-pmap)# class имя класс-мапы
>pixfirewall(config-pmap-c)# set connection per-client-max кол-во соединений
>
>pixfirewall(config)# service-policy имя полиси-мапы interface outside
>
>
>единственное пока не разобрался с опцией csc <fail-close | fail-open>

csc это модуль для фильтрации спама/вирусов и т.д.
а комманда отправляет поток трафика на процесинг этого модуля.

еще вопрос появился по этой теме:
не умеет ли пикс ограничивать эти самые конекты в ед. времени?

например: 10 конектов для хостов в минуту

>еще вопрос появился по этой теме:
>не умеет ли пикс ограничивать эти самые конекты в ед. времени?
>
>например: 10 конектов для хостов в минуту

нет.