Ideal wäre noch ein zwischengeschalteter Router oder eine eigene Netzwerkkarte am Linux Router.
Iptables auf der Box ist auch eine gute Lösung, solange man davon ausgeht, dass der Angreifer diese nicht abschalten kann. In diesem Fall würde ich davon ausgehen, da es dem Angreifer nicht darum geht, mit viel Aufwand an diese eine Box zu kommen, sondern mit einfachen Mitteln aus einer großen Anzahl von Boxen die zu finden, wo er etwas tun kann.
Außerdem wäre es sinnvoll, die Box auf eine IP-Adresse aus einem anderen Netzwerk zu konfigurieren als das restliche interne Netzwerk. Das ist zwar auch nicht absolut sicher, macht es dem Angreifer aber auch nochmal schwerer. Am Router muss man dann dementsprechend zwei interne Adressen konfigurieren.