请教PIX高手

啊奥

内网通过华为1台6506R交换机连接 CISCO得PIX 525 FIREWALL,现在在\r\npix525得outside 上有两个.248得 网段，分别是做NAT（pat）和 静态 NAT对外服务地址\r\n\r\n在上班时候为了限制一些不必要得连接，做了acl 101 来打开某些TCP端口，但是现在acl 配上以后应用在inside 上，pix 能通过msn或者 qq 得。但是web页面无法浏览，去掉acl就行。。。。\r\n 有兄台说要应用在outside上，我觉得应该在inside这样可以减少pix 得nat 数目，\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq www\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq smtp\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq domain\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 3389\r\naccess-list 101 permit icmp 10.0.0.0 255.0.0.0 any\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq ftp\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 1433\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 2000\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 3200\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 3005\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 3050\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 1080\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 1007\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 2001\r\naccess-list 101 permit tcp 10.0.0.0 255.0.0.0 any eq 8000\r\naccess-list 101 permit udp 10.0.0.0 255.0.0.0 any eq domain\r\naccess-list 101 deny ip any any\r\n请教各位，是怎么了，，\r\n\r\n\r\n\r\n\r\np.s，现在去掉acl后，，，通过pix nat，内网客户端联众游戏无法连接北京联众服务器，总说超时，其他一切正常。为什么呢？\r\n\r\n\r\n规求了