Se pueden crear reglas más elaboradas que controlan el acceso para subredes específicas, o hasta nodos específicos, dentro de una LAN. También puede restringir que ciertos servicios dudosos tales como troyanos, gusanos y otros viruses cliente/servidor contacten a su servidor. Por ejemplo, hay algunos troyanos que pueden escanear redes por servicios en los puertos desde 31337 hasta 31340 (llamados los puertos élite en el idioma de los cyberpiratas). Puesto que no hay servicios legítimos que se comuniquen a través de estos puertos no-estándar, el bloquearlos puede efectivamente disminuir las posibilidades de que nodos potencialmente infectados en su red se comuniquen de forma independiente con sus servidores remotos maestros.
iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP |
También puede bloquear las conexiones externas que intentan simular intervalos de direcciones IP privadas para infiltrar su LAN. Por ejemplo, si su LAN utiliza el intervalo 192.168.1.0/24, una regla puede configurar el dispositivo de red con cara a la Internet (por ejemplo, eth0) que descarte cualquier paquete a ese dispositivo con una dirección en su intervalo IP de LAN. Como se recomienda rechazar los paquetes reenviados como política predeterminada, cualquier otra dirección IP simulada al dispositivo en la cara externa (eth0) será rechazada automáticamente.
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP |