====== ACL para controlar acesso dos clientes à porta da internet (ACL OUT) ======

Criar uma ACL avançada com as portas negadas e depois as permitidas, como abaixo. OBS.: É recomendado deixar espaços livres, caso seja necessário incluir outras regras de negação.
  acl name OUT-Ports-Drop number 3195
   rule 15 name Cliente_EXCEÇÂO permit ip source <IP> <MASK>
   rule 300 deny tcp destination-port eq telnet
   rule 305 deny tcp destination-port eq smtp
   rule 310 deny tcp destination-port eq 26
   rule 320 deny tcp destination-port eq 157
   rule 325 deny tcp destination-port eq 229
   rule 330 deny tcp destination-port eq 1900
   rule 500 permit ip
   rule 505 permit icmp
   rule 510 permit tcp
   rule 515 permit udp
   rule 520 permit gre
   rule 525 permit ipinip
   commit
   quit

Criar as classificações de tráfego e vincular a ACL, via nome ou número.
  traffic classifier TC-OUT-Ports operator or
   if-match acl name OUT-Ports-Drop
   commit
   quit

Criar uma política de comportamento de tráfego, não precisa colocar nada além da descrição pois a ação padrão é permitir.
  traffic behavior TB-OUT-Ports
   description Permit_OUT-Ports-Drop
   commmit
   quit

Criar uma política de tráfego para vincular o comportamento com a classificação.
  traffic policy TP-OUT-Ports
   share-mode     
   classifier TC-OUT-Ports behavior TB-OUT-Ports precedence 1
   commit
   quit

Vincular a política de tráfego de OUT na interface WAN da caixa.
interface Eth-Trunk0.400
 description WAN com Borda
 traffic-policy TP-OUT-Ports outbound