Rysunek 1 przedstawia przykład użycia listy ACL, która zezwala na ruch z całej określonej podsieci, z wyjątkiem jednego hosta znajdującego się w tej podsieci.
Konfiguracja ta zastępuje konfigurację z poprzedniego przykładu i dodatkowo blokuje ruch z określonego adresu. Pierwsze polecenie usuwa poprzednią wersję listy ACL 1. Następna instrukcja powoduje odrzucenie ruchu z hosta PC1 o adresie 192.168.10.10. Pozostałe hosty z podsieci 192.168.10.0/24 są przepuszczane. Tak jak w poprzednim przykładzie, na końcu listy istnieje niejawne zaprzeczenie, które blokuje ruch z każdej innej sieci.
Lista ACL jest ponownie powiązana z interfejsem S0/0/0 w kierunku wychodzącym.
Na rysunku 2 pokazano przykład listy ACL, blokującej wybrany host. Działanie tej listy jest analogiczne do poprzedniego przykładu. Nadal blokowany jest ruch z hosta PC1 a przepuszczany cały pozostały ruch.
Pierwsze dwa polecenia są identyczne jak w poprzednim przykładzie. Pierwsza komenda usuwa poprzednią wersję ACL 1 a następna blokuje ruch z hosta PC1 o adresie 192.168.10.10.
Różnica jest w wierszu trzecim, który zezwala na ruch dla wszystkich hostów. Oznacza to, że wszystkie hosty z podsieci 192.168.10.0/24 będą przepuszczone oprócz PC1, którego dostęp został zablokowany w poprzedniej instrukcji.
Lista ACL została powiązana z interfejsem G0/0 w kierunku przychodzącym. Ponieważ filtr działa tylko dla podsieci 192.168.10.0/24, umieszczenie ACL na interfejsie wejściowym jest rozwiązaniem bardziej efektywnym. Umieszczenie ACL na interfejsie wyjściowym S0/0/0 w kierunku wychodzącym również będzie spełniało swoje zadanie, jednak R1 musiałby wtedy filtrować pakiety z wszystkich podsieci, wliczając w to 192.168.11.0/24, co jest w tym przypadku niepotrzebne i powodowałoby dodatkowe zużycie zasobów routera.