[Aleksey Potapov]

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list vlan_103_out out
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
access-list vlan_103_out permit udp any host 172.10.1.4 eq domain
access-list vlan_103_out permit udp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.4 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.7 eq smtp
access-list vlan_103_out permit tcp any host 172.10.1.7 eq pop3
access-list vlan_103_out permit tcp any host 172.10.1.7 eq www
access-list vlan_103_out permit tcp any host 172.10.1.7 eq 443
access-list vlan_103_out deny any
!
ip access-list extended vlan_103_in
deny any
!



Так то что я понял....
Поскольку я привязую группу ACL за влоном, соответственно я могу писать access-list vlan_103_out permit udp ANY.



Этими правилами я запрещаю исходящий траффик кроме выбранного.
И запрещаю входящий ото всюду.


Прочитал Ваше последнее соолбщение....

исходя из него я понял что можно сделать и так.
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-group vlan_103_out out
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vlan_103_out
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.7 eq smtp
permit tcp any host 172.10.1.7 eq pop3
permit tcp any host 172.10.1.7 eq www
permit tcp any host 172.10.1.7 eq 443
deny any
!
ip access-list extended vlan_103_in
deny any
!



Или всё же нельзя?