Podobnie jak standardowe, rozszerzone listy ACL mogą filtrować ruch bazując na adresie źródłowym pakietu. Jednakże, listy rozszerzone mogą dodatkowo filtrować pakiety na podstawie takich parametrów jak: adres docelowy, protokół i numer portu. Pozwala to administratorom sieci na większą elastyczność w wyborze rodzaju filtrowanego ruchu oraz rozmieszczenia list ACL. Podstawową zasadą wyboru miejsca rozmieszczenia listy ACL jest umieszczenie jej tak blisko źródła jak to tylko możliwe. Zapobiega to przesyłaniu niepożądanych danych przez kilka sieci, które i tak po dotarciu do miejsca docelowego zostałby odrzucone..
Administratorzy sieci mogą umieszczać listy ACL tylko na urządzeniach, nad którymi sprawują kontrolę. W związku z tym, należy określić rozmieszczenie ACL, uwzględniając zasięg kontroli administratora sieci. Na rysunku, administrator sieci w firmie A, w której istnieją sieci 192.168.10.0/24 i 192.168.11.0/24 (oznaczone w przykładzie jako .10 i .11) chce filtrować ruch do sieci firmy B. W szczególności administrator chce zablokować ruch Telnet i FTP z sieci .11 do sieci 192.168.30.0/24 (.30 w tym przykładzie) firmy B. Cały pozostały ruch z podsieci .11, opuszczający firmę A, musi być przepuszczany bez ograniczeń.
Istnieje kilka sposobów, aby te cele osiągnąć. Pierwszym sposobem jest umieszczenie rozszerzonej listy ACL, blokującej ruch telnet i FTP na wejściu routera R3, ale administrator nie kontroluje routera R3. Dodatkowo rozwiązanie to zezwala na niepożądany ruch tych protokołów w całej sieci, który jest blokowany dopiero na końcu. Ma to negatywny wpływ na ogólną wydajność sieci.
Lepszym rozwiązaniem jest umieszczenie rozszerzonej listy ACL na routerze R1, która zawiera adresy źródłowy i docelowy (odpowiednio, sieci .11 i .30) i wymusza filtrowanie na zasadzie "Zabroń ruch telnet i FTP z podsieci .11 do podsieci .30". Na rysunku pokazano router R1 z dwoma interfejsami, na których można zastosować rozszerzoną listę ACL:
- Interfejs S0/0/0 routera R1 (wyjściowy) - pierwszą opcją jest zastosowanie rozszerzonej listy ACL na wyjściu interfejsu S0/0/0. Ponieważ rozszerzone listy ACL mogą badać zarówno adresy źródłowe jak i docelowe w pakietach, blokowany będzie tylko ruch Telnet i FTP z podsieci 192.168.11.0/24. Pozostały ruch z adresu 192.168.11.0/24 i innych sieci, będzie przez R1 przepuszczany. Wadą takiego rozwiązanie jest to, że cały ruch opuszczający interfejs S0/0/0, także ruch pochodzący z podsieci 192.168.10.0/24, musi zostać przetworzony przez listę ACL.
- Interfejs G0/1 routera R1 (wejściowy) - umieszczenie rozszerzonej listy ACL na wejściu interfejsu G0/1 sprawia, że tylko pakiety pochodzące z podsieci 192.168.11.0/24 są przetwarzane przez proces ACL na routerze R1. Jest to najlepsze rozwiązanie, ponieważ filtrowanie jest ograniczone tylko do pakietów opuszczających sieć 192.168.11.0/24.