TCP-Relays sind hervorragend geeignet, um TCP-basierende client/server-Dienste abzusichern. Üblich ist hierbei wieder das Verbot des Verbindungsaufbaus von außen bei gleichzeitigem Gestatten von innen initiierter Verbindungen. Verbindungen von außen können nur dann zugelassen werden, wenn das Relay über zusätzliche Authentifikationsmöglichkeiten verfügt.
Noch einfacher gestaltet sich natürlich die Sicherung von TCP-basiernden client/server-Diensten. Je nach Sicherheitspolitik werden entweder wieder nur von innen nach außen gehende Verbindungen zwischen den entsprechenden peer-Prozessen gestattet oder es werden Verbindungen in beiden Richtungen erlaubt, was aber zu den bereits in Zusammenhang mit dem Paket-Filter beschriebenen Problemen führen kann, wenn es einem Angreifer gelingt, die Identität eines anderen Rechners anzunehmen.
TCP-Relays wurden ursprünglich zur Sicherung von TCP-basierenden Diensten entwickelt, neuere Versionen sollen aber in der Lage sein, auch UDP-basierende Dienste mit einem ähnlichen Maß an Sicherheit auszustatten.
Bei der Sicherung von FTP ergeben sich die gleichen Probleme wie bei der Verwendung eines Paket-Filters. Die Datenverbindung, die von außen ausgehend zu einem im vorhinein unbekannten Port aufgebaut werden muß, kann nicht gestattet werden, da man zu diesem Zweck den gesamten nicht-privilegierten Portbereich zugänglich machen müßte. Was bleibt, ist wiederum die Umgehung des Problems durch Abänderung der clients, sodaß diese PASV-Kommados absetzen und damit eine von außen initiierte Verbindung überflüssig machen.
Auch bei der Behandlung von SMTP ähneln sich die Konzepte Paket-Filter und TCP-Relay. Es besteht wiederum nur die Möglichkeit, Verbindungen nur zu einem speziellen mailserver zu erlauben, sodaß die übrigen Rechner vor Angriffen über SMTP geschützt sind. Der mailserver ist aber wieder allen Angriffen schutzlos ausgesetzt.
Es besteht keine Möglichkeit, X11 sicher mit Hilfe eines TCP-Relays anzubieten.
Die meisten RPC-basierenden Dienste benutzen ohnehin UDP als Transportprotokoll, sind also mit einem TCP-Relay auch theoretisch derzeit nicht zu sichern. Aber auch die TCP-basierenden Dienste können nicht angeboten werden, da sie keine festen Portnummern besitzen und es somit nicht möglich ist, bestimmte Pakete bestimmten Diensten zuzuordnen.