> permit ip 10.21.0.0 0.0.0.255 host ADMIN_PC Вот эта строка разрешит ходить любым пакетам из сети 1С к адмПК, так? Мне бы этого не хотелось. Хочеца, чтобы были разрешены лишь обратные пакеты из сети 1С к адмПК - в тех сессиях, которые были инициированы адмПК.
Т.е. я не хочу выпускать какой-либо трафик из сети 1С, кроме того, который был инициирован адмПК.
> Меня смущает у вас вот такая конструкция:
> ip access-group inAdmins in
> ip access-group outAdmins out
В варианте А пакеты ходят, проверено. При этом Ваш вариант является модификацией моего варианта А, а он мне не нравится. Хочется сделать через reflex.
Но Ваш вариант мне не нравится не только потому, что он сделан не через reflex, но и потому что не ограничен трафик идущий из сети 1С к адмПК - для этого описал указанное Вами на циске и проверил - трафик и вправду ходит.
Ещё варианты? :)