permit gre any any

　　如果不这样的话，外发的pptp vpn无法工作

　　permit icmp any any echo

　　准许ping入.   注意，如果你想要保持秘密，请不要使用此功能。

　　permit icmp any any echo-reply

　　准许ping出

　　permit icmp any any traceroute

　　准许 traceroute

　　deny ip any any log

　　如果你想记录所拒绝的进入企图功能，这条命令就很有用。

　　ip access-list extended natacl

　　定义一个称为natacl的扩展acl，用于实现nat

　　permit ip 192.168.100.0 0.0.0.255 any

　　准许192.168.100.0/24到达已经进行了网络地址转换的任何地方。

　　exit

　　退出 natacl acl

　　exit

　　退出全局配置模式

　　wr mem

　　将配置改变写往永久性闪存

　　以上是笔者在学习ios防火墙配置过程中的一点儿体会，希望这些步骤有助于加强安全防御功能。当然不能完全依赖这些东西。