[kim-aa]

1)

Цитата aptv:

Вопрос такой - если на циско хочу указать определённый ip адрес для доступа к примеру через ssh мне необходимо написать так access-list 23 permit 172.10.1.21 0.0.0.7 ? »

Чтобы не путаться с масками определенные IP адресы проще указывать через host

access-list 23 permit host 172.10.1.21

2) Так же можно (и обычно это более стандартный путь) наложить acl на виртуальный терминал
При этом используются три группы записей

;пользователя и привелегии
username root privilege 15 secret 5 $1$H0nM$06ytTz2z0nThOBj7OweIA.

; Сам АКЛ
access-list 23 remark SDM_ACL Category=17
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 172.23.0.0 0.0.255.255

;привязка терминала к списку доступа и уровня привелегии
line vty 5 15
access-class 23 in
transport input telnet ssh

3) Для http доступа применяется конструкция
ip http server
ip http access-class 23

Цитата aptv:

ip access-list FE0_in permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255 permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255 »

Чего-то подозрительно.
Вопросы
- У вас вся работа идет через прокси на ИСА?
Т.е. по этим правилам ни один пакет чей адресат во внешней сети до Cisco не дойдет.
Разрешен трафик только от ISA и то, для двух сетей.
Такое возможно только в случае импользования ИСА как прокси для всех протоколов, что нереально.
(Ходовые конструкции это прокси + кэширующий ДНС)

- 172.10.253.0 аутентифицироваться на ИСА не будут?

===

Цитата aptv:

permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25 »

Конструкция неверна.

Она разрешает ISA ходить на какие-то непонятные http, https, pop3, smtp - сервера.
Не клиенты, а именно сервера.