Sur les pix/asa le choix du filtrage se fait généralement sur l'interface d'entrée et en "in",donc pour déterminer sur quel access-list mettre une règle de flux, il faut faire un show route en grepant sur l’ip source, et on trouvera à quel interface elle appartient après on implémente la règle sur l'acces-group qui match sur cette dernière (interface) aussi il faut faire attention parce que les access–list sont implémentés sur les access-group qui portent généralement le même nom que l’interface mais pas toujours, donc il faut vérifier exemple :
access-group monaccessgroup in interface moninterface
dans notre exemple le flux est à implémenté sur l'access-list "monaccessgroup" non pas sur "moninterface" exemple: Supposant qu'on veuille ouvrir un flux du réseau 192.168.5.0/24 vers 192.168.6.0/24 en http
show route | inc 162.168.5.0 route test 192.168.5.0 255.255.255.0 192.168.7.2
le résultat obtenue montre que le réseau 192.168.5.0/24 est connecté au routeur via l'interface "test" plus loin dans la conf on remarque que
access-group montest in interface test
dans notre exemple le flux est à implémenté sur l'access-list "montest" donc pour implémenter le flux on procède comme suit :
configure terminal access-list montest permit tcp 192.168.5.0 255.255.255.0 192.168.6.0 255.255.255.0 eq www exit write memory