Доброго времени суток, господа подскажите как решить тривиальную задачу.
ЕСТЬ:
ЦО и Филиалы между ними туннели, на железе филиала закрыть невозможно, возможность есть только на цыске ЦО.
interface Tunnel29
ip address 192.168.15.249 255.255.255.252
ip mtu 1400
tunnel source 91.204.X.X
tunnel destination 82.X.X.X
tunnel key 1
tunnel protection ipsec profile tun shared
end

Задача закрыть весь трафик, а особенно ICMP со стороны филиала, кроме почты.

Понимаю что нужно повесить на интерфейсе возможно даже данном interface Tunnel29

ip access-group 147 in
ip access-group 148 out
А вот токовый ACL написать не могу.

Этим мы откроем почту, а вот как закрыть ) ?
access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq smtp
access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq pop3
access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq 465
access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq 995

За ранее благодарю!

• Закрыть ICMP с одной стороны,crash, 06:09 , 13-Апр-11
  • Закрыть ICMP с одной стороны,kolyaniust, 15:59 , 13-Апр-11

Если вы открыли только tcp, то icmp и не должно работать, но можете в начале правил добавить правило:
access-list 147 deny icmp 10.10.11.0 0.0.0.255 any
Этим вы закроете icmp.

получилось вот так :
access-list 146 permit tcp any host 192.168.0.5 eq smtp
access-list 146 permit tcp any host 192.168.0.5 eq pop3
access-list 146 permit tcp any host 192.168.0.5 eq 465
access-list 146 permit tcp any host 192.168.0.5 eq 995
access-list 146 permit icmp any any echo-reply
access-list 146 permit tcp any any established
access-list 146 deny   icmp any any