[gf100]

Ну что-то вроде (содрано с работающей системы, не мое):

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 deny ip 192.168.0.0 0.0.255.255 any
access-list 2 deny ip 10.0.0.0 0.255.255.255 any
access-list 2 deny ip 172.16.0.0 0.0.255.255 any
access-list 2 deny ip 127.0.0.0 0.255.255.255 any
access-list 2 deny tcp any any eq telnet log
access-list 2 deny tcp any any eq login log
access-list 2 deny tcp any any eq 22 log
access-list 2 deny tcp any any range 2105 2106 log
access-list 2 deny tcp any any eq 6143 log
access-list 2 deny tcp any any eq cmd log
access-list 2 deny tcp any any eq lpd log
access-list 2 deny tcp any any range 137 139 log
access-list 2 deny udp any any range netbios-ns netbios-ss log
access-list 2 deny tcp any any eq 31337 log
access-list 2 deny tcp any any eq sunrpc log
access-list 2 deny udp any any eq sunrpc log
access-list 2 deny udp any any range 6000 6063 log
access-list 2 deny tcp any any range 6000 6063 log
access-list 2 deny udp any any eq syslog log
access-list 2 deny udp any any eq tftp
access-list 2 deny tcp any any eq exec log
access-list 2 deny tcp any any eq uucp
access-list 2 permit ip any any

считаем, что внутренняя сеть 192.168.1.0/24, для нее access-list 1, для внешнего интерфейса - 2