bonjour tout le monde  
J'étudie l'installation d'un serveur web en dmz.  
Je dispose d'un 2612 avec des pattes libres sur une desquelles je compte installer la dmz.  
Les users du LAN doivent pouvoir uploader des fichiers par ftp sur le serveur web par contre il ne doit y avoir aucun acces de la dmz vers le LAN. Le firewall du FAI ne laisse presque rien passer mais il y a déjà une webcam qui diffuse par le port 80 sur le net sans problème pour l'instant.  
 
j'ai fait cette ACL pour la dmz : (voir schéma)  
si quelqu'un peut me la vérifier....  
 
 
[...]  
interface Ethernet1/2  
description DMZ  
ip address 192.168.116.12 255.255.255.0  
ip nat inside  
no cdp enable  
ip access-group 100 out  
!  
!  
ip nat inside source static 192.168.116.12 (ip publique)  
!  
access-list 100 remark ***DMZ vers LAN***  
access-list 100 permit ip any any  
access-list 100 deny ip 192.168.116.0 0.0.0.255 192.168.0.0 0.0.255.255  
access-list 100 deny ip 192.168.116.0 0.0.0.255 172.16.0.0 0.0.255.255  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 20  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 21  
!  
[...]  
 
Merci à tous

heuu me semble que si tu met permit any any c cuit , non ?
 
WB.

merci de ta réponse mais du peu que je sais si on ne met pas permit any any
il y a un deny any any implicite
 
access-list 100 permit ip any any  ->autorise tout
access-list 100 deny ip 192.168.116.0 0.0.0.255 192.168.0.0 0.0.255.255 ->sauf vers le LAN qui commence par 192.168...
access-list 100 deny ip 192.168.116.0 0.0.0.255 172.16.0.0 0.0.255.255  ->sauf vers le LAN qui commence par 172.16...  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 20 -> mais autorise le ftp data vers le LAN qui commence par 192.168...
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 21 mais autorise le ftp control vers le LAN qui commence par 192.168...  
 
en tout cas c'est ce que je voudrais que ca fasse
si quelqu'un voit autre chose

oui le deny any any est implicite à partir du moment où tu fais une ACL. Mais les ACLs fonctionnent comme les règles d'un firewall, elle commence par la 1ère et descend les unes après les autres donc du coup, il ne va jamais vérifier le reste de tes ACLs car tu autorises tout dès le début.
Pour faire de bonnes ACLs, il faut commencer par les ACLs concernant les plages les plus précises et finir par les ACLs concernant les plages les plus larges.
 
GTH29

 
   un grand merci pour cette info je le savais pas

et finir par un deny any -> any

donc la j'en arrive pour l'instant a ca :
 
[...]  
interface Ethernet1/2  
description DMZ  
ip address 192.168.116.12 255.255.255.0  
ip nat inside  
no cdp enable  
ip access-group 100 out  
!  
!  
ip nat inside source static 192.168.116.12 (ip publique)  
!  
access-list 100 remark ***DMZ vers LAN***  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 20  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 21  
access-list 100 deny ip 192.168.116.0 0.0.0.255 192.168.0.0 0.0.255.255  
access-list 100 deny ip 192.168.116.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 100 permit ip any any (je veux permettre toutes les connexions vers l'extérieur restantes)
!  
[...]