Reglas más elaboradas pueden ser creadas para que controlen el acceso a subredes específicas, o incluso para nodos específicos, dentro de la LAN. Puede también restringir ciertas aplicaciones o programas de carácter dudoso como troyanos, gusanos, y demás virus cliente/servidor, y evitar que entren en contacto con sus servidores.

Por ejemplo, algunos troyanos examinan redes para ver los servicios en los puertos 31337 a 31340 (llamados los puertos elite en la terminología de craqueo).

Dado que no hay servicios legítimos que se comunican vía estos puertos no estándares, su bloqueo puede disminuir efectivamente las posibilidades de que nodos infectados en su red se comuniquen con sus servidores maestros remotos.

Las siguientes reglas eliminan todo el tráfico TCP que intenta usar el puerto 31337:

[root@miServidor ~ ] # iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
[root@miServidor ~ ] # iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

También se puede bloquear conexiones salientes que intenten suplantar los rangos de direcciones IP privadas para infiltrarse en su LAN.

Por ejemplo, si su red usa el rango 192.168.1.0/24, se puede diseñar una regla que instruya al dispositivo de red del lado de Internet (por ejemplo, eth0) para que descarte cualquier paquete en ese dispositivo con una dirección en el rango IP de su red local.

Dado que se recomienda rechazar paquetes reenviados como una política predeterminada, cualquier otra dirección IP mentida al dispositivo del lado externo (eth0) se rechaza automáticamente.

[root@miServidor ~ ] # iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP