A partir da minha leitura do documento referenciado, a ACL atualmente instalada deve permitir que o host remoto acesse seu host local na porta 22, mas não o host local, para acessar o host remoto na porta 22. De acordo com o documento, As ACLs são stateful, portanto, quando um pacote chega do host remoto destinado à porta tcp 22, ele corresponde à ACL e é permitido. Porque é stateful o tráfego de retorno também é permitido. Quando o host local tenta estabelecer uma conexão com a porta tcp 22 no host remoto, a origem é uma porta alta aleatória no host local, o que significa que não corresponde ao requisito de acl de um pacote para ou a partir do host local na porta 22. deve ser descartado pelo ACL. Uma entrada ACL só é verdadeiramente bidirecional se nenhuma porta tcp ou udp for especificada. A ACL abaixo deve implementar o que você deseja alcançar:
access-list ACME_FILTER extended permit tcp host 10.0.0.254 eq 22 host 192.168.0.20
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20