Cisco ASA 8.2 - 106015 (отклоняет) и 106100 (разрешение) журналы для того же пакета

ACL оценивается перед отслеживанием соединения и оценкой NAT (проверьте выходные данные packet-tracer , имитирующего этот трафик), и поскольку трафик попадает в это правило, он журналы, как вы указали в , разрешить ip любой любой журнал .

Это ожидаемое поведение:

https://www.cisco.com/c/en/us/td/docs/security/asa/syslog/b_syslog/syslog-messages-101001-to-199021.html

Когда строка списка доступа имеет аргумент журнала, ожидается, что этот идентификатор сообщения может быть инициирован из-за того, что несинхронизированный пакет достигает ASA и оценивается списком доступа. Например, если пакет ACK получен на ASA (для которого TCP-соединение не существует в таблице соединений), ASA может сгенерировать сообщение 106100, указывающее, что пакет разрешен; однако позже пакет корректно отбрасывается из-за отсутствия подходящего соединения.