ACL

Привет.
Не совсем понятна топология. Правильно ли я понял? Есть роутер, внутренняя и внешняя сети, пользователь выходит наружу через маршрутизатор и инициирует подключение по UDP? При этом вы хотите чтобы соединения извне вовнутрь кроме инициированных изнутри были запрещены?

http://ciscotips.ru/established вот жешь.

Если я правильно понял, тут хитрость в UDP, established работает только для TCP. Подождём уточнения.

Ну, тут самый напрашивающийся способ — это зеркальный ACL. Established работать не будет, так как для определения, относится трафик к открытой до этого сессии или нет, он использует флаг в заголовке TCP. В UDP сессий нет — поэтому там нельзя определить, ответ это извне на запрос вашего пользователя или это хакер безо всякого запроса инициирует подключение снаружи.
Reflexive ACL, грубо говоря, запоминает обращения с адресов изнутри внаружу и в другом листе формирует «зеркальные» (обратные) записи, в которых адрес отправителя и получателя меняются местами, чтобы именно тот, кому был отправлен пакет предоставлялась возможность слать ответы.
Вот здесь подобная статья.