TCP kan också utföra grundläggande tjänster för tillståndskontroll (stateful firewall) med hjälp av nyckelordet ”TCP established”. Nyckelordet tillåter intern trafik att lämna det interna privata nätverket och tillåter returtrafik som svar att komma in i det interna privata nätverket, som visas i figuren.
TCP-trafik som genereras av en extern dator och som försöker kommunicera med en intern dator ska nekas. För att åstadkomma detta kan nyckelordet ”established” användas för att endast tillåta HTTP-returtrafik från begärda webbplatser, samtidigt som all annan trafik nekas.
ACL 110, som tidigare konfigurerades, kan användas för att tillåta HTTP-trafik (egentligen TCP) från det interna privata nätverket:
R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config)# interface g0/0/0
R1(config-if)# ip access-group 110 in
R1(config-if)# exit
R1(config)#
ACL 120, som använder nyckelordet ”established”, kommer att endast tillåta returtrafik till de interna datorerna. Den nya ACL tillämpas sedan utåtgående på R1 G0/0/0-interfacet. Kommandot ”show access-lists” visar båda ACL. Observera från matchningsstatistiken att interna datorer har haft tillgång till säkra webbresurser från internet.
R1(config)# access-list 120 permit tcp any 192.168.10.0 0.0.0.255 established
R1(config)# interface g0/0/0
R1(config-if)# ip access-group 120 out
R1(config-if)# end
R1# show access-lists
Extended IP access list 110
10 permit tcp 192.168.10.0 0.0.0.255 any eq www
20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (657 matches)
Extended IP access list 120
10 permit tcp any 192.168.10.0 0.0.0.255 established (1166 matches)
R1#
I exemplet är ACL 120 konfigurerad för att endast tillåta retur av webbtrafik till de interna datorerna. Den nya ACL appliceras sedan utgående på R1 G0/0/0-interfacet. Kommandot show access-lists visar båda ACL. Observera från matchningsstatistiken att interna datorer har haft tillgång till säkra webbresurser från internet.