访问控制列中的established用法说明

网络 路由交换
本文从基础设置详细的向大家介绍了ACL中的established选项是如何进行的工作,同时如何使用established选项作为我们配置路由器的基础。

本文详细的向大家介绍了established选项,同时给出established选项具体要进行哪些工作,并且进行哪些配置,下文给出了详细解答。

ACL中的established选项

先来看一个例子:

现有一台路由器A,其fa0/0口连接内网,内网网段172.16.0.0/16,s0/0口连接外网,现在路由器A上做如下配置:

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 established

int s0/0

ip access-group 101 in

这个配置实现一下目标:

外网只能回应内网的TCP连接,而不能发起对内网的TCP连接!

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 这个命令很好理解吧?允许外网对内网的TCP访问。

加上established选项后,ACL会对外网访问内网的TCP段中的ACK或RST位进行检查,如果ACK或RST位被设置(使用)了,则表示数据包是正在进行的会话的一部分,那么这个数据包会被permit。也就是说,在外网向内网发起TCP连接的时候,由于ACK或RST位未设置,这个时候是不会被permit的。

关于TCP段中的字段:

SYN:同步   只在三次握手(建立连接)时设置

ACK:确认   在整个TCP通信过程中都可能用到

RST:复位   四次握手不是关闭TCP连接的***方法。有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST将被设置。

FIN:结束   只在在四次握手(终止连接)时设置

URG:紧急

PSH:推

和我们今天说的内容有关字段如下:

在三次握手时,发起方A首先发送SYN,接收方B回复ACK和SYN,发起方A再回复ACK。注意,发起方最开是发送的只有SYN,没有ACK。

四次握手时,A向B发送ACK和FIN,B回复ACK,然后B向A发送ACK和FIN,A回复ACK。

在中间的传输过程中ACK始终被使用。

重置连接(reset)时,RST会被设置,ACK可能有也可能没有(大部分情况有)。

综上,ACL中的established 选项会影响到三次握手中的***次!因为这次握手只有SYN,没有ACK或RST。

简单总结一下:

ACL中的established选项只适用于TCP而不适用于UDP。

限制外部发起的TCP连接。

可以适用端口号进一步限制,如:

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 80 established

则不允许外网对内网发起80端口的TCP连接。

 

【编辑推荐】

  1. 常用思科路由器密码恢复经典案例
  2. 思科路由器口令恢复办法全解
  3. 思科路由器安全性管理
  4. Cisco路由器故障诊断技术
  5. 配置CBAC,提升Cisco路由器安全
责任编辑:chenqingxiang 来源: IT实验室
相关推荐

2010-10-09 09:10:20

JavaScriptalert

2010-08-19 11:32:10

CSSpaddingmargin

2010-09-06 17:20:04

background-CSS

2020-11-19 10:15:56

tcpdump命令Linux

2010-01-18 10:01:48

C++中访问控制

2010-09-16 14:59:27

Java虚拟机

2018-12-06 08:34:15

Linux访问控制安全拦截技术

2012-09-18 09:50:41

2012-01-10 10:05:47

文件目录访问控制UGO

2022-08-09 10:05:57

Linux命令

2011-07-25 16:13:34

SQL Server数据挖掘

2011-08-03 10:01:28

网络智能手机

2011-08-03 10:20:27

网络智能手机

2010-08-06 10:10:17

思科路由器动态访问列表

2009-02-01 10:54:00

MAC地址访问控制

2009-07-14 15:52:00

WebWork文件下载

2010-09-01 16:43:26

Squid ACLSquid访问列表Squid

2013-08-22 09:55:14

2013-08-20 10:19:38

2023-12-29 10:08:18

Linux系统安全
点赞
收藏

51CTO技术栈公众号