Имеется задача запретить инициировать TCP-сессии из сети, при этом оставить возможность отвечать на запрошенные соединения.
На интерфейсе создан следующий ACL:
permit tcp 192.168.50.0 0.0.0.255 any any 1024-65535 ace-priority 20
Данное правило запрещает открывать сессии хостам из сети 192.168.50.0/24 для большинства административных сетевых служб, использующих общеизвестные (well-known) порты (Telnet, SSH, TACACS). В то же время, ответить на запрос такого соединения хосты из данной сети могут (диапазон зарегистрированных и динамических портов разрешён). Однако далеко не все службы используют диапазон общеизвестных портов для установки соединения, таким образом в полном объеме поставленная задача не выполняется.
Существует другой способ разрешить прохождение только ответного (с точки зрения хоста из сети 192.168.50.0/24) трафика - указать флаги (flags) в правиле ACL в качестве условия соответствия.
В этом случае, правила будут выглядеть следующим образом:
permit tcp 192.168.50.0 0.0.0.255 any any any match-all +rst
permit tcp 192.168.50.0 0.0.0.255 any any any match-all +ack
Таким образом, прохождение TCP-пакетов от хостов 192.168.50.0/24, содержащих флаги ACK или RST будет разрешено, а установка новых сессий (если в сегменте только флаг SYN) - запрещена.