Hola Hebert!

Este comando es un tanto confuso, pero… la documentación indica que sirve para evitar realizar sesiones DESDE un dispositivo de red. Sin embargo si tú haces la prueba vas a ver que aun aplicando la access-class out vas a poner realizar conexiones desde tu dispositivo. La idea de este comando, es que bloquea conexiones DESDE un dispositivo AL CUAL tú te conectas remotamente.

Es decir, si tienes R1 -> R2 -> R3 y te conectas por telnet desde el R1 al Router R2 y quieres pasar al router R3… ahí es donde el comando access-class out tendrá efecto, no va dejar que alguien que se conecte remotamente a tu dispositivo (R1->R2) pueda saltar a otro tercero (R3).

Espero que ahora haya quedado claro.

Atento a tus comentarios.

Hola Gianfranco,

Si te refieres a restringir el acceso a las líneas VTY en un firewall, en lugar del propio dispositivo de red, no hay ningún problema, obviamente dependerá de donde tengas a tu firewall y cual sea tu topología para restringir accesos remotos. De acuerdo a tu topología, si restringes el tráfico a dispositivos que están detrás de tu firewall, estarías evitando que el tráfico no autorizando circule en tu red de manera innecesaria; sin embargo, todavía otros usuarios detrás de tu firewall podrían tener comunicación con el dispositivo de red, por lo tanto lo recomendable siempre sería restringir el acceso en el propio dispositivo para evitar cualquier tipo de comunicación.

Respecto a si pueden trabajar ambos, claro, no hay ningún problema.

Saludos!