GNS3怎样在静态NAT、PIX防火墙存在的情况下配置静态路由和ACL实现单向ping？

ignited

如图，outside为外网，inside为内网。
在DMZ区的电脑C2的ip是192.168.200.2，在PIX上使用静态NAT转换到e2也就是outside口上的地址是202.101.1.20。也就是在pix上执行 static (dmz,outside) 192.168.200.2 202.101.1.20
现在要实现C2ping不通C1，并且C1能ping通C2（即C1上ping 202.101.1.20能通）
问：
1、在路由器R1上如何配置静态路由？
ip route 202.101.1.20  255.255.255.255  202.101.1.1  对不对？
还是
ip route 192.168.200.0  255.255.255.0  202.101.1.1   对不对？
还是别的？
2、扩展ACL怎么写？
access-list xxx permit icmp host 202.101.1.20 host 202.100.1.2 0
access-list xxx deny icmp host 202.101.1.20 host 202.100.1.2
access-list xxx permit icmp any any     对不对?
或是
access-list xxx permit icmp host 192.168.200.2 host 202.100.1.2 0
access-list xxx deny icmp host 192.168.200.2 host 202.100.1.2
access-list xxx permit icmp any any     对不对?
应该施加在哪个口？e0?还是e2?
还是别的？
或者说我上面说的有错误，需要从其它方面考虑，请问应该如何配制？

blanc刘

1.R1上不用路由，既然是nat后的地址对于R1来说是直连的。
2.acl需要两个在outside permit相应的icmp流量，在inside deny相应的流量
3.pix监控icmp流量

ignited

blanc刘 发表于 2013-11-13 09:15
1.R1上不用路由，既然是nat后的地址对于R1来说是直连的。
2.acl需要两个在outside permit相应的icmp流量， ...

能帮我写写具体配置命令吗？只要实现单向ping就行