Wie die oben beschriebene Politik in eine konkrete Implementierung überführt werden könnte ist
in Tabelle ![[*]](http://wwwbode.informatik.tu-muenchen.de/icons/latex2html-97.1/gif/cross_ref_motif.gif){kind=icon}
am Beispiel des frei erhältlichen TCP-Relays Socks dargestellt
[Koblas92].Für die hier dargestellte Implementierung wurde wiederum
ein internes Klasse-C-Netz mit der Adresse 192.1.1.0 angenommen, wie es in
Abbildung skizziert wird.
Die Adressen von Sender und Empfänger werden mit Hilfe von Netzmasken eingegeben, um ganze Netze mit einer einzelnen Konfigurationszeile behandeln zu können. Eine Portnummer läßt sich bei Socks nur für die Empfängerseite angeben, weshalb jede Zeile nur aus den vier Elementen Aktion, source adress, destination adress und destination port besteht.
| Nr. | Aktion | Source | Mask | Dest. | Mask | Port |
| 1 | deny | 0.0.0.0 | 255.255.255.255 | 0.0.0.0 | 255.255.255.255 | eq finger |
| 2 | allow | 192.1.1.0 | 0.0.0.255 | 0.0.0.0 | 255.255.255.255 | eq telnet |
| 3 | allow | 0.0.0.0 | 255.255.255.255 | 0.0.0.0 | 255.255.255.255 | eq mail |
Die Zeilen entsprechen denen der Tabelle .
Durch die Verwendung der Netzmaske 0.0.0.255 in Regel 2 wird die letzte Zahl
der Adresse ignoriert. Deshalb dürfen alle Hosts des Subnetzes 192.1.1.0
den Telnet-Dienst nutzen. Die Netzmasken 255.255.255.255 in den Regeln
1 und 3 dienen dazu, jeden beliebigen Host in die Regel einzuschließen.
Auf eine abschließende Regel, die alle weiteren Verbindungen unterbindet, kann verzichtet
werden, da dies von Socks automatisch so gehandhabt wird.
