18.6. 悪意のあるソフトウェアおよび Spoofed IP アドレス
より詳細なルールを作成して、LAN 内の特定のサブネット、または特定のノードへのアクセスを制御することができます。また、trojans、worms、その他のクライアント/サーバーのワイル語などの特定のアプリケーションまたはプログラムを制限することもできます。
たとえば、31337 から 31340(クラッキング用語の elite ポートと呼ばれる)のポートのサービス用にネットワークをスキャンするものもあります。
標準以外のポートを介して通信する正当なサービスがないため、それらのブロックにより、ネットワーク上のノードに個別にリモートマスターサーバーと通信する可能性を効果的に軽減できます。
以下のルールは、ポート 31337 の使用を試行する TCP トラフィックをすべてドロップします。
[root@myServer ~ ] # iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP [root@myServer ~ ] # iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
また、なりすましのプライベート IP アドレス範囲を試行する外部接続をブロックして、LAN をインフォロジレートすることもできます。
たとえば、LAN が 192.168.1.0/24 範囲を使用する場合、インターネット向けネットワークデバイス(例: eth0)に指示するルールを設計して、LAN IP 範囲のアドレスを持つそのデバイスにパケットをドロップすることができます。
転送されたパケットをデフォルトポリシーとして拒否することが推奨されます。そのため、外部向けデバイス(eth0)への他のなりすましの IP アドレスは自動的に拒否されます。
[root@myServer ~ ] # iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP
備考
追加 されたルールを扱う際に、
DROP
と REJECT
ターゲットには区別があります。
REJECT
ターゲットはアクセスを拒否し、サービスへの 接続
を試行するユーザーに接続拒否エラーを返します。DROP
ターゲットは名前が示すように、警告なしにパケットを破棄します。
管理者は、これらのターゲットを使用する際に独自の判断を使用できます。ただし、ユーザーの混乱を回避し、接続の続行を試みるには、
REJECT
ターゲットが推奨されます。