Cisco Cisco Packet Data Gateway (PDG)

This command allows you to configure the TCP intercept parameters to prevent TCP SYN flooding attacks
by intercepting and validating TCP connection requests for DoS protection mechanism configured with the
dos-protection command.

In StarOS 8.0, this command is available in the ACS Configuration Mode. In StarOS 8.1 and StarOS 8.3,
use this command for Rulebase-based Firewall-and-NAT configuration. In StarOS 8.1 and StarOS 9.0
and later releases, for Policy-based Firewall-and-NAT configuration, this command is available in the
Firewall-and-NAT Policy Configuration Mode.

PSF

Security Administrator, Administrator

Exec > ACS Configuration > Rulebase Configuration

active-charging service service_name > rulebase rulebase_name

Entering the above command sequence results in the following prompt:

[local]

(config-rule-base)#

firewall tcp-syn-flood-intercept { mode { none | watch [ aggressive ] } | watch-timeout
intercept_watch_timeout }
default firewall tcp-syn-flood-intercept { mode | watch-timeout }

Sets the default values of TCP intercept parameters for SYN Flood DoS protection.

Specifies the TCP SYN flood intercept mode:

• none: Disables TCP SYN flood intercept feature.

• watch: Configures TCP SYN flood intercept feature in watch mode. Stateful Firewall passively watches

to see if TCP connections become established within a configurable interval. If connections are not
established within the timeout period, Stateful Firewall clears the half-open connections by sending RST
to TCP client and server. The default watch-timeout for connection establishment is 30 seconds.