[mogr]

access-list на циске закрою всё что ты хочешь
наподобие
conf t
ip access-list extended 101
deny tcp any 10.0.0.0 0.255.255.255 range 135 - 139
deny tcp any 10.0.0.0 0.255.255.255 eq 445
deny tcp any 10.0.0.0 0.255.255.255 eq 80
deny tcp any 10.0.0.0 0.255.255.255 eq 21
deny tcp any 10.0.0.0 0.255.255.255 eq 23
permit ip any any
потом вешаешь на интерфейс который смотрит в инет.
conf t
int e0/0
ip access group 101 in
ну это к примеру.
закрыл tcp порты 135 - 139, 445, 80, 21, 23
можешь закрыть icmp запросы. что хочешь то закроешь.

есть еще разрешать соединение если есть запрос с внутренней сети.