В дополнение к варианту
Eugene Khrustalev:
Предполагаю, что малина сидит не голым задом в интернете, а за каким-то маршрутизатором.
В таком случае, разумнее всего было бы выселить её в так называемую демилитаризованную зону (DMZ):
1. Поселить её в отдельный Ethernet-сегмент/VLAN
2. В этом сегменте:
2.1. Использовать отдельную серую ip-адресацию
2.2. Настроить NAT: Destination NAT для входящих и Source NAT для исходящих соединений с малины
2.3. Запретить любой доступ на сам маршрутизатор, разрешив только транзит трафика
3. На маршрутизаторе явно разрешить только разрешённые типы трафика:
3.1. Из внутренней сети в DMZ
3.2. Из DMZ во внутреннюю сеть (не стоит, но вдруг зачем-то очень надо)
3.3. Из DMZ в интернет
3.4. Из интернета в DMZ
Таким образом, даже при взломе сервера, получении рута и отключения iptables на малине злодей не сможет вылезти оттуда куда попало, поскольку трафик режется на условно неуязвимом для него маршрутизаторе.
