...
Существует другой способ разрешить прохождение только ответного (с точки зрения хоста из сети 192.168.50.0/24) трафика - использовать указать флаги (flags) в правиле ACL в качестве условия соответствия.
В этом случае, Если для срабатывания правила флаги должны присутствовать в сегменте, требуется указать их в следующем виде:
permit tcp [...] match-all +urg, +ack, +psh, +rst, +syn, +fin
Если должен отсутствовать:
permit tcp [...] match-all -urg, -ack, -psh, -rst, -syn, -fin
Для реализации поставленной задачи, правила будут выглядеть следующим образом:
...
Таким образом, прохождение TCP-пакетов от хостов 192.168.50.0/24, содержащих флаги ACK или RST будет разрешено, а установка новых сессий (в когда сегменте содержит только флаг SYN) - запрещена.