Cisco Cisco Packet Data Gateway (PDG)

This command configures TCP SYN intercept parameters for protection against TCP SYN flooding attacks.

In release 8.0, this configuration is available in the ACS Configuration Mode. In release 8.1, for
Rulebase-based Stateful Firewall configuration, this configuration is available in the ACS Rulebase
Configuration Mode. In release 8.3, this configuration is available in the ACS Rulebase Configuration
Mode.

PSF

Security Administrator, Administrator

Exec > ACS Configuration > Firewall-and-NAT Policy Configuration

active-charging service service_name > fw-and-nat policy policy_name

Entering the above command sequence results in the following prompt:

[local]

(config-fw-and-nat-policy)#

firewall tcp-syn-flood-intercept { mode { none | watch [ aggressive ] } | watch-timeout
intercept_watch_timeout }
default firewall tcp-syn-flood-intercept { mode | watch-timeout }

Configures the default settings for SYN Flood DoS protection.

Specifies the TCP SYN flood intercept mode:

• none: Disables the TCP SYN Flood Intercept feature.

• watch: Configures TCP SYN flood intercept feature in watch mode. The Stateful Firewall passively

watches to see if TCP connections become established within a configurable interval. If connections are
not established within the timeout period, the Stateful Firewall clears the half-open connections by
sending RST to TCP client and server. The default watch-timeout for connection establishment is 30
seconds.

• aggressive: Configures TCP SYN flood Intercept or Watch feature for aggressive behavior. Each new

connection request causes the oldest incomplete connection to be deleted. When operating in watch