...
Существует другой способ разрешить прохождение только ответного (с точки зрения хоста из сети 192.168.50.0/24) трафика - использовать указать флаги (flags) в правиле ACL в качестве условия соответствия.
...
Таким образом, прохождение TCP-пакетов от хостов 192.168.50.0/24, содержащих флаги ACK или RST будет разрешено, а установка новых сессий (если в сегменте только флаг SYN) - запрещена.