Da man bei Eintreffen eines Paketes im Paket-Filter anhand des ACK-Flags probemlos unterscheiden kann, ob es sich bei diesem Paket um einen neuen Verbindungsaufbau oder um die Fortsetzung einer bereits bestehenden Verbindung handelt, ist die übliche Art und Weise, TCP-basierende client/server-Dienste mit Paket-Filtern zu sichern, die folgende: Interne Benutzer dürfen sämtliche Dienste nach außen hin nutzen, während externe Benutzer keine Verbindungen nach innen initiieren dürfen. Somit ist gewährleistet, daß kein Angreifer in der Lage ist, eine Verbindung zu einem internen server herzustellen.
Die Behandlung TCP-basierender peer-to-peer-Dienste gestaltet sich ähnlich wie die der client/server-Dienste. Wiederum werden nur Antworten des externen Partners gestattet, wobei diesmal zusätzlich noch der Port bekannt ist, auf den diese Antworten gesendet werden.
Da ja bereits im vorhinein feststeht, welche Rechner über welche Ports miteinander kommunizieren werden, kann auch die Sicherheitspolitik dahingehend gelockert werden, daß bestimmte externe Rechner Verbindungen aufbauen können. Knackt dann aber ein Angreifer den externen Rechner oder nimmt er auf andere Art und Weise dessen Identität an, so besteht die Gefahr, daß über diese Lücke Angriffe durchgeführt werden können.
Möchte man UDP-basiernde peer-to-peer-Dienste erlauben, so besteht keine andere Möglichkeit, als Pakete zwischen den entsprechenden Rechnern, die an die entsprechenden Ports adressiert sind, zu gestatten. Im Gegensatz zu den client/server-Diensten ist es hier ja nicht erforderlich, Antworten zu beliebigen Ports zuzulassen, da sämtliche Antworten an einen vorbestimmten Port adressiert werden. Dies kann aber, wie oben bereits beschrieben, Probleme ergeben, wenn es ein Angreifer schafft, die Identität des externen Partners anzunehmen (siehe Seite ). Die Sicherheitspolitik eines Unternehmens muß festlegen, ob dieses Risiko eingegangen werden soll oder nicht.
Da die Datenverbindung auf client-Seite einen Port aus dem nicht-privilegierten Bereich verwendet, kann man einfach sämtliche Verbindungen zu nicht-privilegierten Ports gestatten. Dies beinhaltet allerdings große Gefahren, da auch im Bereich dieser Ports server angesiedelt sein können, die ein Angreifer benutzen kann, um Angriffe durchzuführen. Diese würde auch dem Grundsatz 'Alles was nicht ausdrücklich erlaubt ist, ist verboten' widersprechen.
Die zweite Möglichkeit ist deutlich sicherer, ist aber auch nicht so leicht zu realisieren. Wie bereits erwähnt (siehe Kapitel ), kann man ein sog. PASV-Kommando an den Server schicken, was diesen veranlaßt eine Portnummer mitzuteilen, zu der der client den Datenkanal öffnen kann. Somit handelt es sich wieder um eine Verbindung von innen nach außen, die mit Hilfe des ACK-Flags gesichert werden kann. Hierzu ist es allerdings erforderlich, die FTP-clients dahingehend zu verändern, daß sie das PASV-Kommando verwenden, wobei aber nicht sicher ist, daß jeder angesprochene server auch in der Lage ist, ein derartiges Kommando zu akzeptieren.
Paket-Filter sind in der Lage, den Austausch von Nachrichten nur zwischen einem speziellen mailserver und dem externen Netz zu gestatten. Somit kann man den Großteil der Rechner vor Angriffen schützen, setzt aber den server allen Gefahren des SMTP-Protokolls aus. Hier ist dann unbedingt darauf zu achten, daß ein sicheres Programm als mailserver eingesetzt wird.
Es ist nicht möglich, X11 mit Hilfe eines Paket-Filtes ausreichend abzusichern, da da Protokoll zu viele Gefahren enthält (vgl. Kap. ). Es bleibt nur die Möglichkeit, den gesamten Bereich, in dem x-server angesiedelt sein können (TCP-Ports 6000-6100) zu verbieten. Man sollte aber nur Verbindungen von außen unterbinden, da man andernfalls Probleme bekommen kann, wenn einem beliebigen client zufällig ein Port aus diesem Bereich zugewiesen werden sollte.
Auch die sichere Behandlung von RPC-basierenden Diensten ist mit einem Paket-Filter unmöglich. Da nicht bekannt ist, welcher Dienst auf welchem Port läuft, ist es nicht möglich, einzelne Dienste zu erlauben. Aus diesem Grund sollten sämtliche RPC-basierenden Dienste verboten werden.