В случае организации сети с ассиметричной маршрутизацией, Stateful Firewall будет запрещать "неправильный (ошибочный)" входящий трафик, не открывающий новое соединение и не принадлежащий никакому установленному соединению, из соображений безопасности.
Например, если была нарушена очередность пакетов установления TCP сессии: SYN → SYN/ACK → ACK. Первый TCP SYN будет пропущен, т.к. это сигнал к началу открытия TCP сессии.
Если Firewall обнаруживает сразу TCP ACK пакеты - они будут удалены, т.к. ранее не было открыто TCP сессии TCP SYN пакетом.
Разрешающее правило в Firewall, не решит поставленную задачу для подобных схем.
Решить задачу можно, отключив Firewall на входном интерфейсе:
esr(config-if-gi)# ip firewall disable
Либо отключением механизма контроля порядка установления сессий:
esr(config)# ip firewall sessions allow-unknown
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed