Создайте extended ACL.
Пропишите туда все, что хотите пускать в локалку.
ПРивяжите ACL к интерфесу, который смотрит в WAN:
(config-if)#ip access-group <название созданного ACL> in

Вроде так.

>Есть маршрутизатор 831 на границе между инетом и локалкой.
>Как сделать чтобы все запросы на 80 порт ip адреса маршрутизатора попадали
>на сервер в локальной сети где крутится web сервер.

ip nat inside source static tcp aa.bb.cc.dd 80 xx.yy.ww.zz 80 extendable
здесь
aa.bb.cc.dd - адрес сервера в локалке (приватный)
xx.yy.ww.zz - внешний адрес циски
В конфигурации внешнего интерфейса
ip nat outside
В конфигурации внутреннего
ip nat inside

вот конфиг моей цыски - подскажите что где нужно подправить, так как я не большой спец в Cisco

! Last configuration change at 16:17:22 UA Wed Oct 13 2004 by lord
! NVRAM config last updated at 15:14:19 UA Wed Oct 13 2004 by CRWS_Bijoy
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Inet-831
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$cmyo$/tebfb7i2AssWiM1LZbNr1
!
username lord password 7 104F180A121317
username CRWS_Bijoy privilege 15 password 7 100A585D3246142A480B7B24170D2334734A50435A54000D0F0B
clock timezone UA 2
clock summer-time UA recurring last Sun Mar 4:00 last Sun Oct 4:00
no aaa new-model
ip subnet-zero
ip name-server aa.bb.cc.dd
!
!
ip cef
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
no crypto isakmp enable
!
!
!
!
interface Ethernet0
description LAN CONNECTION
ip address 10.190.35.128 255.255.252.0
ip nat inside
no ip mroute-cache
no cdp enable
!
interface Ethernet1
description ML : Zyxel-791R
ip address xx.yy.zz.ww 255.255.255.0
ip nat outside
no ip mroute-cache
duplex auto
no cdp enable
!
ip nat inside source list 102 interface Ethernet1 overload
ip nat inside source static tcp 10.190.35.250 80 xx.yy.zz.ww 80 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 aa.bb.cc.dd
no ip http server
no ip http secure-server
!
!
ip access-list extended inet-in
deny   tcp any any range 135 139 log
deny   udp any any range netbios-ns netbios-ss log
deny   ip any host 127.0.0.1 log
deny   ip any 10.0.0.0 0.255.255.255 log
deny   ip any 172.16.0.0 0.15.255.255 log
deny   ip any 192.168.0.0 0.0.255.255 log
permit icmp any any
deny   ip any any log
ip access-list extended inet-out
deny   tcp any any range 135 139
deny   udp any any range netbios-ns netbios-ss
deny   ip host 127.0.0.1 any log
deny   ip 10.0.0.0 0.255.255.255 any log
deny   ip 172.16.0.0 0.15.255.255 any log
deny   ip 192.168.0.0 0.0.255.255 any log
permit icmp any any
deny   ip any any log
access-list 102 permit ip 10.190.32.0 0.0.3.255 any
snmp-server community colocol RO
snmp-server enable traps tty
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17179985
ntp peer ee.ff.gg.hh
!
end