Для каждого протокола на интерфейс может быть назначен только один список доступа.
Для большинства протоколов можно задать раздельные списки для разных направлений трафика.
Если список доступа назначен на входящий через интерфейс трафик, то при получении пакета, маршрутизатор проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается для дальнейшей обработки. Если пакет запрещен, то он отбрасывается.
Если список доступа назначен на выходящий через интерфейс трафик, то после принятия решения о передаче пакета через данный интерфейс маршрутизатор проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.
В конце каждого списка стоит неявное правило «deny all», поэтому при назначении списков на интерфейс нужно следить, чтобы явно разрешить все виды необходимого трафика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамической маршрутизации).