به تصویر زیر توجه کنید:
در این شبکه می خواهیم فقط ترافیکی که از شبکه internal درخواست می شود از شبکه اینترنت وارد شبکه ما شود.
در ابتدا یک access list با نام outgoing می نویسیم که تمام ترافیک tcp را شناسایی می کند. این ترافیکی است که از شبکه قرار است خارج شود و ترافیک بازگشتی آن باید اجازه عبور پیدا کند:
router(config)# ip access-list extended outgoing
router(config-ext-nacl)# permit tcp any any reflect tcp-traffic
سپس یک access list با نام incoming می نویسیم و آنرا به access list قبلی مرتبط می کنیم که از اطلاعات آن استفاده کند:
router(config)# ip access-list extended incoming
router(config-ext-nacl)# evaluate tcp-traffic
سپس روی اینترفیس مورد نظر در جهت خروجی آن ، access list اول را که ترافیک TCP را شناسایی می کند اختصاص می دهیم و در جهت ورودی ، access list دوم که حاوی اطلاعاتی است که به ترافیک ورودی اجازه عبور می دهد را اختصاص می دهیم:
router(config)# interface Serial0/0
router(config-if)# ip address 192.168.100.1 255.255.255.0
router(config-if)# ip access-group incoming in
router(config-if)# ip accesss-group outgoing out
به این صورت تنها ترافیکی اجازه ورود به شبکه را پیدا می کند که از داخل شبکه برای آن درخواست شده باشد.
