検索

18.6. 悪意のあるソフトウェアおよび Spoofed IP アドレス

download PDF
より詳細なルールを作成して、LAN 内の特定のサブネット、または特定のノードへのアクセスを制御することができます。また、trojans、worms、その他のクライアント/サーバーのワイル語などの特定のアプリケーションまたはプログラムを制限することもできます。
たとえば、31337 から 31340(クラッキング用語の elite ポートと呼ばれる)のポートのサービス用にネットワークをスキャンするものもあります。
標準以外のポートを介して通信する正当なサービスがないため、それらのブロックにより、ネットワーク上のノードに個別にリモートマスターサーバーと通信する可能性を効果的に軽減できます。
以下のルールは、ポート 31337 の使用を試行する TCP トラフィックをすべてドロップします。
[root@myServer ~ ] # iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
[root@myServer ~ ] # iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
また、なりすましのプライベート IP アドレス範囲を試行する外部接続をブロックして、LAN をインフォロジレートすることもできます。
たとえば、LAN が 192.168.1.0/24 範囲を使用する場合、インターネット向けネットワークデバイス(例: eth0)に指示するルールを設計して、LAN IP 範囲のアドレスを持つそのデバイスにパケットをドロップすることができます。
転送されたパケットをデフォルトポリシーとして拒否することが推奨されます。そのため、外部向けデバイス(eth0)への他のなりすましの IP アドレスは自動的に拒否されます。
[root@myServer ~ ] # iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP
備考
追加 されたルールを扱う際に、DROPREJECT ターゲットには区別があります。
REJECT ターゲットはアクセスを拒否し、サービスへの 接続 を試行するユーザーに接続拒否エラーを返します。DROP ターゲットは名前が示すように、警告なしにパケットを破棄します。
管理者は、これらのターゲットを使用する際に独自の判断を使用できます。ただし、ユーザーの混乱を回避し、接続の続行を試みるには、REJECT ターゲットが推奨されます。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.