Суть CBAC в том, что он позволяет любой доступ LAN -> WAN, при этом запрещает доступ WAN -> LAN, кроме трафика, что был инициирован из LAN.
То есть если вы из локальной сети откроете web страницу из сети Интернет (или любой другой запрос наружу), то обратный ответ от сервера в виде содержимого страницы вы получите обратно (то есть страница у вас откроется или запрос выполнится), так как CBAC обозначил у себя, что это запрос был инициировал из LAN.
Образец:
Лист NOPING:
ip access-list extended NOPING
permit tcp any any eq 30020 (разрешаем проброс ip nat inside)
permit tcp any any eq 30041 (разрешаем проброс ip nat inside)
permit tcp any any eq ftp (разрешаем входящий FTP трафик - порт 21)
permit tcp any any eq 922 (разрешаем ssh на роутер по нестандартному порту)
permit udp any any eq bootps (DHCP - порт 67)
permit udp any any eq bootpc (DHCP - порт 68)
permit udp any eq domain any (чтобы роутер мог разрешать доменные имена - порт 53)
permit udp any eq ntp any (чтобы роутер мог синхронизировать своё время - порт 123)
permit udp any any eq isakmp (нужен для IPSEC, PPTP, L2TP)
permit udp any any eq non500-isakmp (нужен для IPSEC, PPTP, L2TP)
permit tcp any any eq 1723 (PPTP)
permit udp any any eq 443 (SSTP)
permit gre any any log (разрешаем GRE для IPSEC и PPTP, L2TP)
permit esp any any (разрешаем ESP для IPSEC и PPTP, L2TP)
*2 строки DHCP нужны, так как я получаю по DHCP адрес от провайдера на внешний интерфейс