Access-List/Access-Group

[Speedo]

Hallo!
Eine generelle Frage zum Erstellen einer Access-List, bzw. zum Anwenden dieser. Ich erstelle auf einer PIX 506E die notwendigen permit-Regeln unter einer acl_ID und schliesse die Liste mit einer deny-any-Regel ab. Auf welches Interface (outside/inside) binde ich die Liste nun, um den Verkehr auf z.B. http/https, smtp und ssh zu beschränken?

Mir ist unklar, warum man die Möglichkeit hat, zwei Listen für im Grunde den selben Weg zu definieren. Ist das nicht mit einer Wasserleitung zu vergleichen, die vorne und hinten je einen Absperrhahn hat?


Vielen Dank im Voraus!

[bandit600112]

So da sonst noch keiner geantwortet hat werde ich es mal versuchen.

Also wenn du es für dein Gerät betrachtest ist es vielleicht noch unverständlich warum outside/inside.
Bei einem Gerät mit drei Ports musst du dir da schon eher gedanken machen auf welchem Port etwas rein darf und aus welchem raus.

Aber auch bei dir ist es wichtig! Legst du alles auf den Port deiner Intranet Seite kommt vielleicht keiner in dein Netz aber deine PIX selbst ist von aussen nicht mit einem deny any geschütz, oder?

Als Beispiel willst du dein Gerät via Telnet aus dem Intranet verwalten können, dies aber aus dem Internet heraus verbieten. Hättest du nur eine Möglichkeit dann ginge nur ganz oder garnicht - so kannst du es für outside/inside festlegen.

So denke war verständlich.... oder?