关于扩展ACL的方向问题

最近在看教材时发现书中一实例：
要求通过扩展ACL禁止销售部和市场部访问财务部的ftp服务，但是可以访问其他服务及上网，ACL我会配置，但是书中实验是将ACL应用到F0/1/2的out方向。
请问为什么不将ACL部署到F0/1/2的in方向，这样检测完后丢弃数据包，还能减少开销？

首先明白数据包对于端口in和out的方向先，如下图：

之后需求是，禁止销售部和市场部访问财务部的ftp服务，那肯定是 out的方向，因为数据包 请求是请从两边过来的啊，
如果in，那请求包就会过去了，回包时，你要阻止，那规则就不一定一样设置了，什么意思?
就是，你禁止了某个端口访问，那设置在out，就可以一开头就阻止了，但你在回包时，那，你是规则是如何设置？不是不可以设置，是复杂很多了，

所以很多规则究竟是in 还是 out，看具体使用场景。