Cita: segun yo seria algo asi
access-list 101 permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
le estas diciendo que quieres que todo el trafico icmp de la red 10.1.1.0 entre a la red 172.16.1.0, con esta otra
access-list 101 deny icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
cancelas el acceso icm de la 172 a la 10.
espero esto te ayude
Quizás en un cortafuegos "simple", esto pueda ser así... Pero tal y como yo lo leo, en el momento en que apliques la segunda regla, dejaras de tener acceso ICMP desde la primera red a la segunda...
Si deniegas TODO el trafico ICMP, deniegas el REPLY (no solo el ECHO)... Es decir, deniegas las respuestas a ping desde la segunda red a la primera, lo que lleva a una denegacion efectiva del ping desde la primera a la segunda red.
Entiendo que precisamente eso es lo que le estaba pasando... Si su cortafuegos (como debería ser) "entiende" el estado de los paquetes, lo que debe es denegar paquetes por estado, no por protocolo... Permitir los NEW y los ESTABLISHED entre red 1 y red 2 (ECHO y REPLY) y denegar los NEW, permitiendo los ESTABLISHED entre la red 2 y la 1 (denegar EL ECHO y permitir el REPLY).
¿No?