connreplace

    如果没有可用空间时，允许给防火墙连接列表添加新连接，以取代旧连接。

    缺省值：replacelog

    logopenfails

    某些情况下，规则部分的决定允许包通过，状态检查机制随后决定不得打开新连接。这种情况中的一个例子是关闭syn标志的tcp包，规则允许其通过，但不能成为建立的连接。这样的包永远都无法打开新连接。此外，新连接都是用icmp echo（ping）而不是icmp信息打开的。此设置决定防火墙是否记录出现的这种包。

    缺省值：enabled

    logreverseopens

    决定防火墙是否记录试图通过已经打开的连接打开一个新连接的包。这种做法仅适用于打开syn标志的tcp包和icmp echo包。在其他如udp协议中，无法决定远端主机是否正试图打开一个新连接。

    缺省值：enabled

    logstateviolations

    决定防火墙是否记录违反连接切换图的期望状态的包，如对tcp syn包响应做出的tcp fin包

    缺省值：enabled

    maxconnections

    指定防火墙一次可以打开的连接数。每个连接消耗大约150字节的ram。

    缺省值：4096个迸发连接

    strictifacematching

    决定防火墙是否要求在发出原始请求的接口上接收响应。通常，如果access列表的设置方式是指定ip地址仅允许某特定接口作为发送地址，那么此功能不会对系统造成影响。

    缺省值：enabled

    dynamicnatbaseport

    指定防火墙在动态nat（nat隐藏）中使用的第一个源端口。使用端口值从此开始，连续增加直至到达最大连接数设置规定的数值。

    缺省值：32768

    logconnections

    指定防火墙怎样记录连接：

    1 nolog–不记录任何连接；因此，不论allow或nat规则是否允许记录都没有关系；不会对它们进行记录。可是，按照规则设置规定将记录fwdfast, drop和reject规则。

    2 log–以简短的形式记录连接；对连接做简短描述，允许的规则和适用的任何sat规则。连接关闭时也会被记录。

    3 logoc–用于日志的，但是，包括使连接打开、关闭的两个包。如果连接因超时关闭，则不记录结尾包。

    4 logocall–记录所有涉及打开和关闭连接的包。如果是tcp包，则包括打开syn，fin或rst标志的所有包。

    5 logall–记录连接中的所有包。

    缺省值：log