2.8.6. 悪意のあるソフトウェアおよびなりすましの IP アドレス
LAN 内の特定のサブネットまたは特定のノードへのアクセスを制御する、より詳細なルールを作成できます。トリックの木車、写真、その他のクライアント/サーバーのウイルスなど、特定の永続アプリケーションやプログラムをサーバーへの接続に制限することもできます。
たとえば、31337 から 31340 までのポート上のサービスに対するネットワークをスキャンするもの(クラッキング用語で elite ポートと呼ばれます)。
これらの標準ポートを介して通信する正当なサービスはありません。ブロックすると、ネットワーク上のノードがリモートマスターサーバーと個別に通信する可能性が低減される可能性があります。
以下のルールは、ポート 31337 の使用を試みる TCP トラフィックをすべて破棄します。
~]# iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP ~]# iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
また、プライベート IP アドレス範囲の偽装を試みる外部接続をブロックして、LAN に侵入することもできます。
たとえば、LAN が 192.168.1.0/24 の範囲を使用している場合は、インターネット向けネットワークデバイス(例: eth0)に指示するルールを設計し、LAN IP 範囲内のアドレスを持つそのデバイスへのパケットを破棄することができます。
転送されたパケットをデフォルトポリシーとして拒否することが推奨されます。そのため、外部向けデバイス(eth0)へのその他の偽装 IP アドレスは自動的に拒否されます。
~]# iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP
注記
追加 したルールを処理する場合は
DROP
、と REJECT
ターゲット間に区別があります。
REJECT
ターゲットはアクセスを拒否し、サービスへの接続を試みるユーザーに connection refused
エラーを返します。DROP
ターゲットは、名前が示すように、警告なしでパケットをドロップします。
管理者は、これらのターゲットを使用する際に独自の判断を使用できます。