Немного обзора, прежде, чем добраться до специфических особенностей. Каждый интерфейс имеет два ACLs; вход ACL (названный interface_in) и выход ACL (названный interface_out). Прием с именованием должен постараться не думать об этом с точки зрения "внутренней части" и "снаружи"; вместо этого, думайте о нем с точки зрения "трафика, происходящего (в/из) этот интерфейс".
Это дает большую гибкость с точки зрения того, где Вы применяете данное правило, но можете также потенциально быть огромным источником ненужной сложности.
Так, к Вашему примеру. Если Вы обращаетесь к соединениям блока на порте 25 (smtp), которые происходят из внутреннего узла и предназначены для узла Интернета, у Вас есть две опции:
access-list inside_in extended deny tcp host X.Y.Z.1 any eq smtp
и
access-list outside_out extended deny tcp host X.Y.Z.1 any eq smtp
Если у Вас только будет два интерфейса, то эти команды будут иметь идентичный эффект. То, когда это становится сложным, - когда у Вас есть больше интерфейсов; скажите, например, интерфейс DMZ.
Первая команда (на inside_in ACL) только предотвратит тот трафик, когда это войдет> снаружи, но не dmz-> снаружи. Вторая команда (на outside_out ACL) предотвратила бы обоих.
Так, это - опции для того, где применить выходные правила. Мое предложение для Вашей собственной исправности состоит в том, чтобы только использовать одну из этих двух опций (и копировать некоторые правила, если Вы имеете к); Вы будете стрелять себе в ногу, если Вы вынудите себя проверить 5 различных ACLs для поиска и устранения неисправностей одного потока трафика.
К сожалению, Netgear AC1750 не поддерживает сквозную передачу PPTP или обход PPTP NAT.
Ни то, ни другое не упоминается в документации, и это сравнение прямо говорит об этом: