Доброго времени суток. Не мудрствуя лукаво опишу сложившуюся ситуацию и  собственно вопрос.
     Итак имеется ровтер циськи (эксперимент проводился и на Cisco 800 SOHO Cisco 1700, Cisco 1800) с IOS-ом 12.x (дело именно в архитектуре black box-а под названием IOS).
     Делаем ак:
Router(config)#access-list 104 deny icmp 0.0.0.0 255.255.255.255 10.0.1.0 0.0.0.255 8 0      
Router(config)#access-list 104 permit icmp any any
     Поднимаем loopback0 (ip=10.0.1.1/24) и ставим на него ак лист 104.
Router(config-if)#ip access-g 104 in
(хочу заметить что в данном акл-е запрещаются ping request-ы c DA=10.0.1.0/24 , однако можно использовать стандартный акл с запретом всего трафа)
     Поднимаем eth0 (fa0) c ипом скажем 192.168.1.1/24, линкуем станцию с ипом 192.168.1.2/24
   Далее самое интересно - пингуем lo0 (10.0.1.1) с ровтера (extended ping-ом с SA=192.168.1.1) - получаем ожидаемое icmp-сообщение о недоступности заданного узла назначения (не пингуется как и следовало ожидать). Запускаем пинг с рабочей станции (ип=192.168.1.2) - получаем icmp-response (пингуестя).
    Самое отвратительное то, что отследить путь пакетов внутри ровтра не возможно (трафик со станции (с заданными критериями DA=lo0) не попадат на акл loopback0-а)!!!!.Конечно я понимаю, что для достижения заданной цели мну нужно поствить данный акл на eth0 (192.168.1.1) - вопрос не в этом.
    Интересно почему outside-пакеты не попадают на in-acl дальнего интерфейса (то есть loopbacka-f или др. интерфейса not directly connected к источнику трафика).

.....thx for your patience