Bonjour à tous,
 
je viens vous soumettre une question, je ne suis pas spécialiste sur les ACL et une collègue m'a posé une question.
Imaginons que j'ai un pix 515e.
Est possible de créer une ACL qui filtre le trafic allant de la DMZ vers le Lan en mettant en paramètre un certains port, par exemple bloquer le port 23 (telnet) (ce n'est qu'un exemple).
 
bien sûr je pense que c'est faisable (j'ai fait quelques recherches qui vont dans ce sens, une simple ACL étendue et hop...).
Mais ce que ma collègue faisait n'avait pas l'air de fonctionner d'après elle, et elle voudrait confirmation.
enfin je pense surtout qu'elle s'est planté dans l'ordre de ses ACL    
 
étant donné que je n'ai aucun moyen matériel pour vérifier moi même je me tourne vers vous et google ^^
 
Merci d'avance.

Les PIX embarque une gestion web pour le management du pare-fey assez simple, crée tes ACL et teste!

En ligne de commande ça doit donner ça:
 
access-list DMZ_LAN extended deny tcp 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 eq 23
 
Avec 192.168.1.0 qui est ton LAN et 172.16.1.0 pour ta DMZ, ensuite il faut appliquer ton access-list à l'interface côté LAN :
 
access-group DMZ_LAN in interface inside
 
Avec inside qui est l'interface côté LAN.
 
Ceci est valable pour les PIX et ASA avec IOS version 7 et plus.

j'aurai mis  l'ACL coté outside interface ,les paquet a jeter seraient bloqués a la source... non? comment ca on
bloque avant de "router"

Même du côté de l'interface dmz, comme ça les paquets en destination de l'inside (de la part de la dmz) serait effectivement bloqués avant d'être routés :
 
access-group DMZ_LAN in interface dmz