bump<br><br><div class="gmail_quote">On Sat, Dec 11, 2010 at 7:56 PM, Edward avanti <span dir="ltr"><<a href="mailto:edward.avanti@gmail.com">edward.avanti@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Halo all,<div><br></div><div>I understood that  ACL on int's were transitting traffic and ACL on line was to the router?</div><div><br></div><div>I ask because I could not access router until I add my home IP on acl 101 (the inbound)</div>

<div>Is this because the external interface fe0 has inbound rules applied?  </div><div>For example, fe1 is to our network of servers I apply ingress rules on fe0 which the SP link, is this right why I denied?</div><div><br>

</div><div>Should I invert this all?, have no rules on fe0 and apply the network-ingress, as an outbound rule on fe1 instead?</div><div><br></div><div>Which is consider best practise?  Or is this correct but I somehow block myself to line</div>

<div><br></div><div><br></div><div>ACL conf data relevant to post,  all IP is changed for protect guilty :-></div><div><br></div><div><br></div><div>access-list 1 permit 1.1.1.0 0.0.1.255</div><div><div>line vty 0 4</div>

<div> access-class 1 in </div></div><div><br></div><div><br></div><div><br></div><div><div>access-list 101 permit ip host 1.2.3.4 any</div><div>access-list 101 permit ip host 15.6.7.8 any</div><div>access-list 101 deny   tcp any any eq 22</div>

<div>access-list 101 deny   tcp any any eq telnet</div><div>access-list 101 deny   tcp any any eq sunrpc</div><div>access-list 101 deny   udp any any eq sunrpc</div><div>access-list 101 deny   tcp any any range 135 139</div>

<div>access-list 101 deny   udp any any range 135 netbios-ss</div><div>access-list 101 deny   tcp any any eq 445</div><div>access-list 101 deny   udp any any eq tftp</div><div>access-list 101 deny   tcp any any eq 873</div>

<div>access-list 101 deny   tcp any any eq 2049</div><div>access-list 101 deny   tcp any any eq 3306</div><div>access-list 101 permit ip any any</div></div><div><br></div><div><div>interface FastEthernet0</div><div> ip access-group 101 in</div>

</div><div><br></div><div><br></div><div><br></div><div>thanks you</div><div><br></div>
</blockquote></div><br>