可以建立更精細的規則來控制對區網中特定子網路或甚至特定節點的存取,您也可以限制某些可疑的服務(如 木馬程式、蠕蟲與其他用戶端/伺服端的病毒)與他們的伺服器通訊。 例如,有許多種木馬程式會掃描網路中 位於連接埠號 31337 到 31340 (在怪客的語言稱為 elite 連接埠)的服務,因為沒有 任何正當的服務透過這些非標準連接埠進行通訊,藉由阻隔它們的連線將可有效地降低網路中可能受影響的節點 與他們遠端的主伺服器進行獨立的連線通訊。
iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP |
您也可以阻隔試圖要偽冒私有 IP 位址範圍以滲透您區域網路的外來連線,舉例來說,假如您的區網使用 192.168.1.0/24 範圍,可以設定一個規則在連接網際網路的網路裝置上(如 eth0),以丟棄(DROP)含有您區網 IP 範圍之 IP 位址的任何封包。 因為建議您拒絕轉送的封包來當作一個預設的政策,任何對外部裝置 (eth0) 的其他偽冒的 IP 位址都將會自動被拒絕。
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP |