访问控制列中的established用法说明

　　ACL中的established选项

　　先来看一个例子：

　　现有一台路由器A，其fa0/0口连接内网，内网网段172.16.0.0/16,s0/0口连接外网，现在路由器A上做如下配置：

　　access-list 101 permit tcp any 172.16.0.0 0.0.255.255 established

　　int s0/0

　　ip access-group 101 in

　　这个配置实现一下目标：

　　外网只能回应内网的TCP连接，而不能发起对内网的TCP连接!

　　access-list 101 permit tcp any 172.16.0.0 0.0.255.255 这个命令很好理解吧?允许外网对内网的TCP访问。

　　加上established选项后，ACL会对外网访问内网的TCP段中的ACK或RST位进行检查，如果ACK或RST位被设置(使用)了，则表示数据包是正在进行的会话的一部分，那么这个数据包会被permit。也就是说，在外网向内网发起TCP连接的时候，由于ACK或RST位未设置，这个时候是不会被permit的。

　　关于TCP段中的字段：

　　SYN：同步 只在三次握手(建立连接)时设置

　　ACK：确认 在整个TCP通信过程中都可能用到

　　RST：复位 四次握手不是关闭TCP连接的唯一方法。有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST将被设置。

　　FIN：结束 只在在四次握手(终止连接)时设置

　　URG：紧急

　　PSH：推

　　和我们今天说的内容有关字段如下：

　　在三次握手时，发起方A首先发送SYN，接收方B回复ACK和SYN，发起方A再回复ACK。注意，发起方最开是发送的只有SYN，没有ACK。

　　四次握手时，A向B发送ACK和FIN，B回复ACK，然后B向A发送ACK和FIN，A回复ACK。

　　在中间的传输过程中ACK始终被使用。

　　重置连接(reset)时，RST会被设置，ACK可能有也可能没有(大部分情况有)。

　　综上，ACL中的established 选项会影响到三次握手中的第一次!因为这次握手只有SYN，没有ACK或RST。

　　简单总结一下：

　　ACL中的established选项只适用于TCP而不适用于UDP。

　　限制外部发起的TCP连接。

　　可以适用端口号进一步限制，如：

　　access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 80 established

　　则不允许外网对内网发起80端口的TCP连接。