2.5.6. Schädliche Software und erschnüffelte IP-Adressen

Sie können auch ausgeklügeltere Regeln erstellen, die den Zugriff auf bestimmte Subnetze oder gar bestimmte Knoten innerhalb eines LANs regeln. Auch können Sie bestimmte, zweifelhafte Applikationen oder Programme wie z. B. Trojaner, Würmer und andere Client-/Server-Viren daran hindern, Verbindungen zu deren Servern herzustellen.

Beispielsweise scannen einige Trojaner Netzwerke nach Diensten auf Ports 31337 bis 31340 (in Cracking-Terminologie auch Elite-Ports genannt).

Da es keine legitimen Dienste gibt, die auf diesen nicht-standardmäßigen Ports kommunizieren, können Sie durch deren Sperrung das Risiko mindern, dass potenziell infizierte Knoten auf Ihrem Netzwerk selbstständig mit ihren entfernten Master-Servern kommunizieren.

Die folgenden Regeln verwerfen jeglichen TCP-Datenverkehr, der Port 31337 zu benutzen versucht:

[root@myServer ~ ] # iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
[root@myServer ~ ] # iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

Sie können auch Verbindungen von außerhalb blockieren, die versuchen, private IP-Adressbereiche zu erschnüffeln, um damit Ihr LAN infiltrieren zu können.

Wenn Ihr LAN zum Beispiel den Bereich 192.168.1.0/24 verwendet, können Sie eine Regel aufstellen, die das mit dem Internet verbundene Gerät (z. B. eth0) anweist, alle Pakete an dieses Gerät zu verwerfen, die eine IP-Adresse innerhalb des Bereichs Ihres LANs haben.

Da als Standardrichtlinie empfohlen wird, weitergeleitete Pakete zurückzuweisen, werden sämtliche andere erschnüffelte IP-Adressen zum externen Gerät (eth0) automatisch zurückgewiesen.

[root@myServer ~ ] # iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP