Sì, devi creare una access list.
Ricorda che le voci di una access list hanno ordine prioritario. Le prime voci hanno priorità sulle ultime. Se c'è match su una voce ci si ferma, se non c'è match si prosegue con la voce seguente. Alla fine della lista c'è un implicito deny ip any any . Quindi, a meno che tu abbia inserito alla fine della lista un permit ip any any qualunque pacchetto che non abbia avuto un precedente match viene bloccato.

ad es, se il tuo scopo è consentire unicamente connessioni dall'esterno in un range di ip (ad esempio zzz.xxx.yyy.1-255):


ip access-list extended ACL_WAN
permit tcp any any established
permit ip zzz.xxx.yyy.0 0.0.0.255 any


questa access list estesa di nome ACL_WAN stabilisce che in entrata possono entrare

1) tutti i pacchetti tcp che appartengono ad una connessione già stabilita (per esempio partita dall'interno). Questa voce è essenziale e deve essere in prima posizione.
2) tutti gli indirizzi appartenenti a pacchetti ip nel range zzz.xxx.yyy.0/24

in genere la forma è:

permit/deny, protocollo, rete di provenienza, subnet mask inversa di provenienza (gli zeri indicano bit fissi gli 1 bit variabili), ip destinazione

se hai un unico ip pubblico puoi lasciare any come ip destinazione, altrimenti puoi specificare su quale ip pubblico deve essere applicato il filtro.

Attenzione che con lo schema indicato solo gli ip permessi passeranno perchè alla fine è implicito un deny ip any any

Se invece vuoi negare specifiche classi di ip e vuoi lasciar passare tutto il resto come ultima voce dell'access list dovrai inserire un permit ip any any

se hai dei dubbi chiedi pure.