>[оверквотинг удален]
> !
> ip access-list extended ACL-ROOT
> deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
> deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
> deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
> !... deny also to internal white IPs/Networks if you have such
> !... etc
> permit ip host 10.43.79.2 any
> !
> end

Вот за это спасибо большое. Трафик пришел туда куда нужно.

PS: Если я захочу сети добавить, то правило будет так выглядеть?

deny ip 10.43.79.2 255.255.255.0 10.0.0.0 0.255.255.255
deny ip 10.43.79.2 255.255.255.0 172.16.0.0 0.15.255.255
deny ip 10.43.79.2 255.255.255.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any

И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети (по RFC) в правиле, как мне правильнее сделать?
Нужен ACL который из всех внутренних сетей будет делать deny на все внутренние сети, а nex hop делать, только если запрос вышел за пределы RFC

deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any

Разрешающие сети я бы все таки каждую отдельно добавил