Hola que tal te cuento cuando creas un acl extendida o estandar debes planearla muy bien y un consejo es hacerla primero con el bloc de notas o algun otro editor de texto para poder revisarla antes de configurarla en el router,cuand ya has creado la acl y necesitas añadir alguna entrada tienes que borrarla y crearla de nuevo porque como muy bien dices al añadir entradas nuevas te las va a posicionar al final de la lista es decir detras de la linea acces-list xx permit ip any any (esta linea debe estar siempre la ultima porque en toda acl siempre por defecto hay un deny implicito al final que no se ve pero esta ahí y si no agregamos esta linea todo el trafico que no este permitido por nosotros mediante reglas anteriores  nos lo va a prohibir). Tampoco puedes eliminar ninguna entrada en concreto esto si se puede hacer si utilizas acl nombradas. Un consejo copia la configuracion de la acl y pegala en el bloc de notas en este modificala y vuelve a introducir la configuracion,acuerdate que por telnet  no vale la herramienta pegar. Suerte y un saludo.

UN EJEMPLO

Access-list 100 deny icmp any any redirect
access-list 100 deny udp any any eq 19
access-list 100 deny tcp any any eq 31 syn
access-list 100 deny tcp any any eq 41 syn
access-list 100 deny tcp any any eq 58 syn
access-list 100 deny tcp any any eq 90 syn
access-list 100 deny tcp any any eq 121 syn
access-list 100 deny udp any any eq 135
access-list 100 deny tcp any any eq 135 syn
access-list 100 deny udp any any range 136 140
access-list 100 deny tcp any any range 136 140 syn
access-list 100 deny tcp any any eq 421 syn
access-list 100 deny tcp any any eq 456 syn
access-list 100 deny tcp any any eq 531 syn
access-list 100 deny tcp any any eq 555 syn
access-list 100 deny tcp any any eq 911 syn
access-list 100 deny tcp any any eq 999 syn
access-list 100 deny udp any any eq 1349
access-list 100 deny udp any any eq 6838
access-list 100 deny udp any any eq 8787
access-list 100 deny udp any any eq 8879
access-list 100 deny udp any any eq 9325
access-list 100 deny tcp any any eq 12345 syn
access-list 100 deny udp any any eq 31335
access-list 100 deny udp any any eq 31337
access-list 100 deny udp any any eq 31338
access-list 100 deny udp any any eq 54320
access-list 100 deny udp any any eq 54321
access-list 100 deny tcp any any eq 1433
access-list 100 deny udp any any eq 1434
access-list 100 deny tcp any any eq 445
access-list 100 deny 53 any any
access-list 100 deny 55 any any
access-list 100 deny 77 any any
access-list 100 deny tcp any any eq ident syn
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmptrap
access-list 100 deny ip host 80.239.144. 76 any
access-list 100 deny ip host 193.138.220. 147 any
access-list 100 permit ip any any (ENTRADA QUE PERMITE EL TRAFICO RESTANTE QUE NO HA SIDO PROHIBIDO MEDIANTE REGLAS ANTERIORES,SI NO PONEMOS ESTA ENTRADA SE BLOQUEARA TODO ELTRAFICO TCP/IP)

Gracias hombre! Ya había conseguido configurarlo enredando pero igualmente tu consejo me sirvió.

Un saludo!

Mis bolas putos