به تصویر زیر توجه کنید:
در شبکه بالا می خواهیم از اینترنت و DMZ فقط ترافیکی اجازه عبور ورود به شبکه داخلی را داشته باشند که برای آن درخواست شده باشد. همچنین از اینترنت فقط ترافیک مربوط به وب (آدرس وب سرور ۱۷۲٫۱۶٫۱٫۲) و ترافیک درخواستی از DMZ ، اجازه ورود به شبکه DMZ را داشته باشد.
برای اینکار از دستورات زیر استفاده می کنیم:
router(config)# ip access-list extended incoming
router(config-ext-nacl)# permit tcp any any reflect tcp-traffic
router(config)# ip access-list extended outgoing
router(config-ext-nacl)# permit tcp any host 172.16.1.2 eq www
router(config-ext-nacl)# evaluate tcp-traffic
router(config)# interface FastEthernet0/0
router(config-if)# ip access-group incoming in
router(config-if)# ip accesss-group outgoing out
router(config)# interface FastEthernet0/1
router(config-if)# ip access-group incoming in
router(config-if)# ip accesss-group outgoing out
