Molte più regole complesse possono essere create in modo da controllare l'accesso a specifiche sottoreti, o addirittura a specifici nodi, all'interno di una LAN. Potete limitare anche alcuni servizi sospetti come ad esempio trojans, worm e altri virus del client/server dovuti al contatto dei loro server. Per esempio, ci sono alcuni trojan che vanno alla ricerca di servizi della rete su porte che vanno da 31337 a 31340 (chiamate in gergo le porte elite). A causa della mancanza di servizi leggittimi che comunicano attraverso queste porte non-standard, bloccandole si può diminuire considerevolmente le possibilità che nodi infetti presenti sulla vostra rete, possano comunicare indipendentemente con i loro server master remoti.
iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP |
Potete altresì bloccare i collegamenti esterni che cercano di eseguire lo spoof dell'indirizzo IP privato in modo da infiltrarsi nella vostra LAN. Per esempio, se la vostra LAN usa la gamma 192.168.1.0/24, una regola può impostare il dispositivo della rete a contatto con Internet, (ad esempio eth0) in modo da rilasciare qualsiasi pacchetto per quel dispositivo con un indirizzo compreso nella vostra gamma IP LAN. Visto che è consigliato come policy di default, rifiutare i pacchetti inoltrati, qualsiasi altro indirizzo IP soggetto all'azione di spoof per un dispositivo a contatto con l'esterno (eth0), verrà automaticamente rifiutato.
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP |