На интерфейсе имеется ACL:
permit tcp 192.168.50.0 0.0.0.255 any any 1024-65535 ace-priority 20
Требуется внести изменения и разрешить только ответный TCP-трафик из сети 192.168.50.0/24, не открывая весь диапазон (1024-65535) зарегистрированных и динамических портов (т.к. номер на инициаторе сессии заранее неизвестен).
На Cisco это можно решить с помощью следующего правила:
permit tcp 192.168.50.0 0.0.0.255 any established
Согласно документации, функционал данной опции аналогичен условию соответствия флагов ack и rst:
established —Enter to match an established connection. This has the same function as matching on the ack or rst flag.
В этом случае, правила на MES будут выглядеть следующим образом:
permit tcp 192.168.50.0 0.0.0.255 any any any match-all +rst ace-priority 20
permit tcp 192.168.50.0 0.0.0.255 any any any match-all +ack ace-priority 40
Таким образом, TCP-пакеты, содержащие флаги ACK или RST будут пропущены.