Есть маршрутизатор Циско серии 3800. IOS Version 12.4(15)T3
Подсоеденен к внутренней сети интерфейсом с адрессом х.х.х.х
Выступает интернет-шлюзом.
Решил его обезопасить от своей же сети с помощью возвратных списков доступа  (Reflexive Access List).
Все пакеты с адрессом отправителя х.х.х.х должны пропускаться в лок. сеть и даные о них должны заноситься во временной список. Пакеты, с лок. сети с адрессом получателя x.x.x.x должны обробатываться роутером только в случае их наявности во временном списке доступа (тоесть, когда сам роутер инициировал соеденение, например, как тот же клиент к внутрисетевому ТФТП-серверу). В противоположном случае пакеты отправленые на адресс х.х.х.х должны дропаться.
Все прочее пропустить.

После написание необходимых правил и применения их к интерфейсу х.х.х.х я столкнулся со следующей проблемой:

все пакеты с адрессом отправителя х.х.х.х НЕ пропускаються в лок. сеть, и, соответсвенно (?), данные о них НЕ заносяться во временной список.

Остальные пакеты пропускаються через маршрутизатор корректно.

Вот что говорит комманда show access-list:

Extended IP access list InList
    10 evaluate TempList
    20 deny ip any host х.х.х.х (1621 matches)
    30 permit ip any any (348472 matches)
Extended IP access list OutList
    10 permit ip host х.х.х.х any reflect TempList
    20 permit ip any any (5373 matches)
Reflexive IP access list TempList

Подскажите, пжлст, где и что я нахомутал?

Заранее благодарен.