M4300 VLAN Separierung mit ACLs

Hello,

habe ein Netz mit M4300 als Core und S3300 im Edge. VLAN Routing übernimmt der M4300, nun möchte ich die folgenden VLANs separieren. Die S3300 sind per LWL an den M4300 angebunden - hier hängen also nur Uplinks. 

VLAN 10: Management

Network: 172.16.10.0/24
VLAN 20: Server

Network: 172.16.20.0/24

VLAN 30: Clients 1

Network: 172.16.30.0/24

VLAN 40: Clients 2

Network: 172.16.40.0/24

VLAN 50: Guest

Network: 172.16.50.0/24

Ich habe folgende ACLs erstellt - im ersten Schritt zum testen möchte ich von Gast zu Management verbieten - andersrum aber erlauben. 

IP ACL e. g. 110

IP Extended ACL:

Rule 1 Deny | Match Every False | Src 172.16.50.0 0.0.0.255 | Dst 172.16.10.0 0.0.0.255

Rule 2 Deny | Match Every False | Src 172.16.50.0 0.0.0.255 | Dst 172.16.20.0 0.0.0.255

Rule 3 Deny | Match Every False | Src 172.16.50.0 0.0.0.255 | Dst 172.16.30.0 0.0.0.255

Rule 4 Deny | Match Every False | Src 172.16.50.0 0.0.0.255 | Dst 172.16.40.0 0.0.0.255

Rule 5 Permit | Match Every True

In bound der ACL zu VLAN 50:

VLAN ID 50 | Direction InBound | Sequence 1 | ACP Type IP ACL | ACL ID e. g. 110

Ich verstehe die ACL so, dass nun eine Richtung geblockt wird - alles von den Gästen, andersrum müsste erlaubt sein. Ist auch in der extended so angegeben. Nach dem setzen funktionieren beide Richtungen nicht mehr - Ping geht nicht mehr durch. Deaktiviere ich die ACL, gehen beide Richtungen. 

Wo wo ist da mein Denkfehler?