48.8.6. 悪意のあるソフトウェアおよびスポンクション IP アドレス
LAN 内の特定のサブネットや特定のノードへのアクセスを制御する、より詳細なルールを作成できます。また、Trojans、worms、およびその他のクライアント/サーバーウェアークスティクスなど、異常な特定のアプリケーションやプログラムを制限したりすることもできます。
たとえば、Trojans によっては、ポート 31337 から 31340 (クラッキング用語で elite ポートと呼ばれる)のサービスに対してネットワークをスキャンします。
これらの標準以外のポートを介して通信する正当なサービスがないため、そのサービスをブロックすると、ネットワーク上の潜在的なノードが独立してリモートマスターサーバーと通信する可能性を効果的に損なう可能性があります。
以下のルールは、ポート 31337 の使用を試みるすべての TCP トラフィックをドロップします。
iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
プライベート IP アドレス範囲のスプーフィングを試みて LAN を推測しようとする外部接続をブロックすることもできます。
たとえば、LAN が 192.168.1.0/24 の範囲を使用する場合、インターネット向けネットワークデバイス(例:eth0)に LAN IP 範囲のアドレスを持つパケットをドロップするように指示するルールを設計できます。
転送されたパケットをデフォルトポリシーとして拒否することが推奨されます。そのため、外部向けデバイス(eth0)へのスプーフィングされた IP アドレスは自動的に拒否されます。
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP注記
追加 されたルールを扱う場合は
DROP ターゲットと REJECT ターゲットの間に区別があります。
REJECT ターゲットはアクセスを拒否し、サービスへの接続を試みるユーザーに connection refused エラーを返します。名前が示すように DROP ターゲットは、警告なしでパケットをドロップします。
管理者は、これらのターゲットを使用する際に独自の判断を使用することができます。ただし、ユーザーの混乱を回避し、接続を継続しようとするには、
REJECT ターゲットが推奨されます。
