снова я со своими баранапи, т.е. пиксами
помогите дураку
есть пикс
access-list 101 permit ip 192.168.137.0 255.255.255.248 192.168.130.0 255.255.255.0
access-list 101 permit ip 192.168.137.0 255.255.255.248 192.168.1.0 255.255.255.0

access-list 104 permit ip 192.168.137.0 255.255.255.248 192.168.130.0 255.255.255.0

nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

sysopt connection permit-ipsec
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
crypto map to_corporate 1 ipsec-isakmp
crypto map to_corporate 1 match address 104
crypto map to_corporate 1 set peer A.A.A.A
crypto map to_corporate 1 set transform-set vpn1
crypto map to_corporate interface outside

isakmp enable outside
isakmp key ******** address A.A.A.A netmask 255.255.255.255
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 480

все работает отлично
но мне необходимо пропускать между сетями только телнет и рдп остальные порты требуется закрыть, причем и телнет и рдп должны работать только в одну сторону: из 130 в 137 подсеть
замена ACL 104 на такой
access-list 104 permit tcp 192.168.137.0 255.255.255.248 eq 3389  192.168.130.0 255.255.255.0
access-list 104 permit tcp 192.168.137.0 255.255.255.248 eq telnet 192.168.130.0 255.255.255.0
положительного эффекта не дает
необходимо ли его "зеркалить" на стороне A.A.A.A??
или же можно просто
заранее спасибо за ответы