Критерии расширенного списка доступа записываются в следующем формате:
access-list access-list-number {deny | permit} protocol source [source-wildcard] [operastor operand] [port port-number or name] destination [destination-wildcard] [operastor operand] [port port-number or name] [established] [log]
access-list access-list-number {deny | permit} protocol any any
access-list access-list-number {deny | permit} protocol host source host destination
Ключевое слово "log" вызывает выдачу записи о совпадении пакета с данным критерием на консоль и в системный лог-файл.
Если в качестве протокола указано «tcp» или «udp», то описания source- и destination-wildcard могут включать номера портов для данных протоколов с ключевыми словами «eq», «lt», «gt», «range». Для протокола «tcp», возможно также применение слова «established» для выделения только установленных tcp-сессий.
Ключевое слово «host source» - эквивалентно записи: «source 0.0.0.0»