Dúvida access-list

E aí Nakano, blz.. eo Kleber.
Cara tô com uma dúvida, temos um router que provêm acesso a Internet para nós (não e + a Oi), e estou pensando em bloquear ping(Icmp) e fazer uma access-list permitindo somente um numero determinado de IP´s por host, independete do acesso ser via rede interna ou rede publica, vc tem alguma dica??
Eu pensei em algo do tipo

config t
access-list 10 permit host 10.50.56.102
access-list 10 permit host 10.1.1.2
access-list 10 permit host 10.1.1.3
line vty 0 4
access-class 10 in

Más estou em dúvida se o IP 10.50.56.102 seria entendido como tal para uma conexão via VPN.. e como posso criar uma acl para ICMP, sem impedi o SNMP (monitoraçã).

Valeu!!!

Opa Kleber, blz ha qto tempo ne rsss

Foi malz aquele dia no msn estava meio corrido por isso nao respondi.

Esta acl é para bloquear ICMP ou conexões ao router? Aplicando ela na line vty vc esta restringindo acesso remoto AO ROUTER, seja ele via ssh, telnet, ...

Se vc quer bloquear ICMP em qualquer direção pode aplica-la em uma interface em comum de todas as direções, tipo uma Giga/Fast/Serial.

Se vc quer especificar o protocolo terá que usar uma extended, ex:

access-list 101 permit icmp host 10.50.56.102 any
access-list 101 permit icmp any host 10.50.56.102
access-list 101 permit icmp host 10.1.1.2 any
access-list 101 permit icmp any host 10.1.1.2
access-list 101 permit icmp host 10.1.1.3 any
access-list 101 permit icmp any host 10.1.1.3
access-list 101 deny icmp any any
access-list 101 permit ip any any

OU

ip access-list extended ICMP
permit icmp host 10.50.56.102 any
permit icmp any host 10.50.56.102
permit icmp host 10.1.1.2 any
permit icmp any host 10.1.1.2
permit icmp host 10.1.1.3 any
permit icmp any host 10.1.1.3
deny icmp any any
permit ip any any

abs