فیلتر کردن ترافیک TCP بر اساس پرچم‌ها در MES23xx/33xx/35xx/5324
May 17, 2025 by
نوران ارتباطات نوین (نورانو)

هدف این است که از ابتدا نشست‌های TCP در شبکه را ممنوع کنیم، در حالی که امکان پاسخ دادن به درخواست‌های اتصال حفظ شود. 
در تنظیم زیر یک ACL برای اینترفیس ساخته می‌شود:

permit tcp 192.168.50.0 0.0.0.255 any any 1024-65535 ace-priority 20

 
این قاعده از برقراری نشست‌ها توسط میزبان‌های شبکه 192.168.50.0/24 برای اکثر سرویس‌های مدیریتی شبکه که از پورت‌های شناخته شده (مانند Telnet، SSH، TACACS) استفاده می‌کنند جلوگیری می‌کند. در عین حال، میزبان‌های این شبکه می‌توانند به درخواست‌های اتصال پاسخ دهند (محدوده پورت‌های ثبت‌شده و پویا مجاز است). اما از آنجا که تمامی سرویس‌ها از پورت‌های شناخته شده برای ایجاد اتصال استفاده نمی‌کنند، این وظیفه به‌طور کامل انجام نمی‌شود.
راه دیگری برای عبور تنها ترافیک پاسخ (از دیدگاه میزبان‌های شبکه 192.168.50.0/24) وجود دارد؛ که در آن باید پرچم‌ها را در قانون ACL به عنوان شرط تطابق مشخص کنید.
اگر نیاز است که یک قاعده تنها در زمانی فعال شود که پرچم‌های مشخص‌شده در یک بسته وجود داشته باشند، باید به شکل زیر مشخص شوند:

permit tcp [...] match-all +urg, +ack, +psh, +rst, +syn, +fin


اگر باید غیرفعال باشند:

permit tcp [...] match-all -urg, -ack, -psh, -rst, -syn, -fin


برای اجرای این کار، قواعد به شکل زیر خواهند بود:

permit tcp 192.168.50.0 0.0.0.255 any any any match-all +rst
permit tcp 192.168.50.0 0.0.0.255 any any any match-all +ack

 
بنابراین، بسته‌های TCP از میزبان‌های 192.168.50.0/24 که دارای پرچم ACK یا RST هستند، اجازه عبور خواهند داشت، اما ایجاد sessions جدید (زمانی که بسته تنها شامل پرچم SYN باشد) ممنوع خواهد بود.