>[оверквотинг удален]
>Есть 3725. На интерфейсе, подключенном к интернет висит ACL, который блокирует весь
>трафик на циску, кроме icmp.
>
>На интерфейсе в сторону локалки висит ip inspect FW_inside in.
>Трафик из локалки через nat спокойно бегает в интернет и обратно.
>
>НО! циска не резолвит имена, так как правило ip inspect на нее
>не распространяется.
>Подскажите, как правильно повесить ip inspect, чтобы CBAC отслеживал собственный трафик циски
>и открывал ACL для ответного трафика?

В общем так в принципе  , я не видел вашь конфиг .. в принципе без разницы куда прикручивать инспект к внешнему или внутреннему интерфейсу  .. у вас он in к внутреннему похоже так ?? Значит тот трафик который вы разрешаете на этот интерфейс in  будет разрешаться обратный поток на внешнем интерфейсе .... вот так вот ..

проблема решается добавлением ключа router-traffic при описании правила ip inspect

ip inspect name Local_Traf udp router-traffic
interface GigabitEthernet0/1.1
ip inspect Local_Traf out