Dans certains scénarios, un serveur, un service ou un appliance externe peut envoyer un paquet fin ou RST, mais plutôt que de fermer immédiatement la session, la session restera ouverte pour une durée plus longue que prévue.
Dans PAN-OS 6,0, la minuterie par défaut pour une session à fermer après réception d'un paquet FIN/RST est de 30 secondes.
> Show session info | match Timeout
Session Timeout
TCP default timeout: 3600 secs
session TCP Timeout Before SYN-ACK received: 5 secs
session TCP Timeout Before 3-Way Handshake: 10 secs
session TCP Timeout après fin/RST: 30 secs
UDP par défaut timeout: 30 secs
ICMP Timeout par défaut: 6 secs
autres IP par défaut timeout: 30 secondes
captive session délai d'expiration du portail: 30 secs</c 4 >
Ce délai d'attente peut être augmenté jusqu'à 600 secondes:
# Set deviceconfig Setting Session Timeout-tcpwait
<value> 1-600> Set session TCP Wait Timeout (après réception de fin/RST) valeur en secondes </value>
> Show session info | match FIN
timeout session TCP après fin/RST: 150 secs
Dans Pan-OS 6,1 et ultérieur, une nouvelle fonctionnalité a été introduit appelé «Timeout session demi-fermé» qui utilise deux minuteries différentes pour permettre plus de temps avant la fermeture des sessions où une seule fin/RST a été reçu, et permettre une fermeture plus rapide lorsque les deux parties ont envoyé un fin/ Tvd. Dans le cas où une seule fin/RST est reçue, le délai d'attente est déjà réglé à 120 secondes par défaut, tandis que le temporisateur pour la terminaison de session après que les deux côtés envoient une fin/RST est un SWIFT 15 secondes.
> Show session info | match Timeout
Session Timeout
TCP default timeout: 3600 secs
session TCP Timeout Before SYN-ACK received: 5 secs
session TCP Timeout Before 3-Way Handshake: 10 secs
TCP session demi-fermé timeout: 120 secs
session TCP Timeout dans TIME_WAIT: 15 secs
session TCP Timeout pour la TVD non vérifiée: 30 secs
UDP par défaut timeout: 30 secs
ICMP par défaut timeout: 6 secs
autres IP par défaut timeout: 30 secs
session du portail captif délai: 30 secs
Pour permettre encore plus de clémence dans le scénario précité, le plafond à demi fermé a été augmenté jusqu'à 604800 secondes ou un total de 7 jours, tandis que le temps-attendre, après avoir reçu une fin/RST des deux côtés, peut encore être augmenté jusqu'à 600 secondes ou abaissé à 1 seconde pour une terminaison de session encore plus rapide.
# Set deviceconfig paramètre de session timeout-TCP-demi-fermé
<value> <1-604800>Set session TCP demi-délai de fermeture (après réception de la première fin/RST) valeur en secondes
# Set deviceconfig paramètre de session timeout-TCP-Time-wait
<value><1-600>Set session TCP heure délai d'attente ( après réception de la deuxième FIN/RST) valeur en deuxième</1-600> </value> </1-604800> </value>