Por que o acesso de um endereço IP específico ainda é permitido depois que uma regra de ACL da rede que nega o acesso do endereço IP foi adicionada?

As regras de network ACL têm prioridades. Um valor de prioridade menor representa uma prioridade mais alta. Cada network ACL inclui uma regra padrão cujo valor de prioridade é um asterisco (*). As regras padrão têm a prioridade mais baixa.

Se as regras entrarem em conflito, a regra com a prioridade mais alta entra em vigor.

Se você precisar que uma regra entre em vigor antes ou depois de uma regra específica, poderá inserir essa regra antes ou depois da regra específica. Por exemplo, se a prioridade da regra A é 1, mas você precisa que a regra B tenha prioridade sobre a regra A, insira a regra B antes da regra A. Então, a regra B terá prioridade 1 e a regra A será 2. Da mesma forma, se a regra B é menos importante que a regra A, insira a regra B depois da regra A.

Quando uma regra que nega o acesso de um endereço IP especificado é adicionada, insira as regras que permitem o acesso de todos os endereços IP no final. Em seguida, a regra que nega o acesso do endereço IP especificado terá prioridade sobre as outras regras e será efetiva. Para obter detalhes, consulte Alteração da sequência de uma regra de network ACL.