访问控制列中的established用法说明

本文详细的向大家介绍了established选项，同时给出established选项具体要进行哪些工作，并且进行哪些配置，下文给出了详细解答。ACL中的established选项先
来看一个例子：现有一台路由器A，其fa0/0口连接内网，内网网段172.16.0.0/16,s0/0口连接外网，现在路由器A上做
如下配置：access-list 101 permit tcp any 172.16.0.0 0.0.255.255 establishedint s0/0ip access-group 101 in这个配置实现一下目标：外网只能回应内网的TCP连接，而不能发起对内网的TCP连接！access-list 101 permit tcp any 172.16.0.0 0.0.255.255 这个命令很好理解吧？允许外网对内网的TCP访问。加上established选项后，ACL会对外网访问内网的TCP段中的ACK或RST位进行检查，如果ACK或RST位被设置（使用）了，则表示数据包是正在进行的会话的一部分，
那么这个数据包会被permit。也就是说，在外网向内网发起TCP连接的时候，由于ACK或RST位未设置，这个时候是不会被permit的。关于TCP段中的字段：SYN：同步 只在三次握手（建立连接）时设置ACK：确认 在整个TCP通信过程中都可能用到RST：复位 四次握手不是关闭TCP连接的唯一方法。有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST将被设置。FIN：结束 只在在四次握手（终止连接）时设置URG：紧急PSH：推和我们今天说的内容有关字段如下：在三次握手时，发起方A首先发送SYN，接收方B回复ACK和SYN，发起方A再回复ACK。注意，发起方最开是发送的只有SYN，没有ACK。四次握手时，A向B发送ACK和FIN，B回复ACK，
然后B向A发送ACK和FIN，A回复ACK。在中间的传输过程中ACK始终被使用。重置连接（
reset）时，RST会被设置，ACK可能有也可能没有（大部分情况有）。综上，ACL中的established 选项会影响到三次握手中的第一次！因为这次握手只有SYN，没有ACK或RST。简单总结一下：ACL中的established选项只适用于TCP而不适用于UDP。限制外部发起的TCP连接。可以适用端口号进一步限制，如：access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 80 established则不允许外网对内网发起80端口的TCP连接。