Acredito que você esteja misturando o conceito de entrada e saída em sua ACL.
Se a interface GigabitEthernet0 / 0 tiver a sub-rede 192.168.1.0/24 por trás dela, para permitir que o tráfego vá para a outra interface, você adicionará a seguinte ACL em GigabitEthernet0 / 0 e vice-versa.
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip 192.168.2.0 0.0.0.255 any
A mesma coisa pode ser alcançada (e seria mais segura) restringindo onde o tráfego pode ir.
access-list 101 permit ip any 192.168.2.0 0.0.0.255
access-list 102 permit ip any 192.168.1.0 0.0.0.255
Se você usar a ACL acima, ambas as redes por trás de ambas as interfaces só poderão se comunicar ... é isso.
Em seguida, na configuração GigabitEthernet0 / 0:
ip access-group 101 in
E no GigabitEthernet0 / 1:
ip access-group 102 in
Entrada e saída são sempre baseadas em qual interface o pacote atingirá primeiro.
Para entender melhor ao lidar com a ACL e o problema de entrada / saída, finja que você é o roteador e / ou o firewall.
Você (o roteador) permite que pacotes cheguem até você com o IP 192.168.1.10 na interface SEU Gi0 / 0?
Sim, as ACLs nessa interface permitem isso;
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
ou
access-list 101 permit ip any 192.168.2.0 0.0.0.255
Se você tivesse sua ACL definida em Saída, a pergunta seria:
Você permite que os pacotes 192.168.1.10 deixem sua interface Gi0 / 0?
Depois que você permitir esse tráfego, não será necessário adicionar ACLs na interface de destino quando os dois estiverem no mesmo dispositivo.