ACL igen :)

Jeg skal lige høre, om jeg forstår det helt korrekt.
Pix\'en sidder på dit private net. e0 på routeren er koblet til Pix\'ens outside. s0 (eller lignende) er koblet til isp\'en.

Hvis det er korrekt opfattet, så bør du sætte access-listen som in på din s0:
interface serial 0
ip access-group 101 in

Om du vil begrænse trafikken udgående her eller i PIX\'en er op til dig.

Hvis du vil kunne telnette til routeren indefra skal du huske at tilføje det ØVERST på din access-liste, hvis du sætter den på e0 som \"in\", som vil være det rigtige sted.

Du bør stadig sikre dig mod \"spoof\", som beskrevet i de links, jeg gav dig i dit sidste spørgsmål. Dette gør du ved øverst i access-listen at deny\'e alt, der ikke kan komme udefra som source, dvs private adresser og dine egne adresser. Eksempelvis:
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 193.1.1.0 0.0.0.255 any (hvis du har 193.1.1.0/24)

      pix    router 
  e0  -- e1  --
mit -|  |----|  |----- isp
net  --      --

sådan ser det ud :)
pix\'en har en NAT som den deler det op i 254 adresser, derfor ville jeg helst undgå at sidde og give adgang til hver enkelt :)
interface ethernet 0
ip access-group 101 out (eller er det in)
fordi den skal stoppe trafikken (for spil, icq, irc, ftp osv.)
jeg kan så selv sidde mellem pix\'en og routeren og lave disse ting :)
telnet skal selvfølgelig være tilladt, men kun fra 1 ip.

Den access-list 101, som vi har specificeret ovenstående passer til indgående på isp-benet, eller alternativt til udgående på router-benet mod pix\'en. Den første mulighed er bedst, da du så også får beskyttet selve routeren mod angreb!

I dit setup og med det ønske, at der skal være mere frihed i området mellem pix og router, skal du nok tænke i lidt anderledes baner.
Lad Pix\'en styre, hvad \"dine\" folk må foretage sig på internettet vha en outgoing access-liste på pix\'en. Lad routeren om at lave \"grovfiltrering\" af spoof attacks mm.

jeg kan ikke få adgang til at konfigurere routeren, kun pix\'en :)

OK, hvis det kun er PIX\'en, så glem alt om indgående access-lister, med mindre du har servere, som skal kunne nås fra internettet.
Mht de udgående access-lister, så glem alt om \"gt 1023\"; de retter sig helt automatisk til, så svarene kommer retur, når du har sat de udgående.
Syntaksen er også noget anderledes på pix\'en:
access-list outgoing permit tcp any any eq www
access-list outgoing permit tcp any any eq smtp
access-list outgoing permit udp any any eq 53
access-group outgoing in interface inside

For at begrænse trafikken endnu mere kan du overveje at sætte en web-proxy op og kun tillade proxy\'en at tilgå web. Tilsvarende kan en caching dns forbedre svartider og du kan gå ind og begrænse dns opslag til den.
Mht smtp bør du overvej, om du ikke vil fortrække, at alle dine brugere har een maskine internt, som de skal sende til og lade den sende videre. Så vil det blive lettere for dig, hvis du vil indføre udgående virus-scanning, så dine brugere ikke kan sende virus ud af huset.

Der er iøvrigt dokumentation af pix\'en på:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/ og bunker af technical tips og sample configs på http://www.cisco.com/warp/public/707/index.shtml#pix

tak, men hvad så hvis der er 1 ip som skal kunne telnette routeren indefra
lad os sige ip\'en er 194.100.100.136 (fake ip, bare et eksempel)

Hvis du mener routeren foran pix\'en så er det:
access-list incoming tcp host 194.100.100.136 host \"router-ip\" eq telnet
Hvis det er selve pix\'en, du vil telnette til:
telnet 194.100.100.136 255.255.255.255 inside

DOH!: incoming=outgoing:
access-list outgoing tcp host 194.100.100.136 host \"router-ip\" eq telnet

tak
skal der ingen deny på ?

Der ligger altid en implicit (=underforstået) deny ip any any i bunden af en access liste. Jeg lægger nogen gange en deny ip any any ind i bunden alligevel, for at se, hvor meget ulovligt, der bliver forsøgt. Det er som regel forkert konfigurerede maskiner, men kan også være hacking forsøg.