Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.5.6. Software malintencionado y direcciones IP falsas

Se pueden crear reglas más elaboradas para controlar el acceso a subredes específicas o incluso nodos específico, dentro de una LAN. También puede restringir el contacto a su servidor de algunas aplicaciones dudosas o programas tales como troyanos, worms u otros virus de cliente y servidor.
Por ejemplo, algunos troyanos escanean redes de servicios en puertos de 31337 a 31340 (llamados los puertos elite en terminología de ciberpiratas).
Puesto que no hay servicios ilegítimos que se comuniquen a través de estos puertos no estándar, el bloquearlos puede disminuir efectivamente las posibilidades de que nodos infectados en su red se comuniquen de forma independiente con sus servidores maestros remotos.
Las siguientes reglas descargan todo el tráfico TCP para usar puerto 31337:
[root@myServer ~ ] # iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
[root@myServer ~ ] # iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
También puede bloquear conexiones externas que intenten suplantar rangos de direcciones IP privadas para infiltrar su LAN.
Por ejemplo, si su LAN usa el rango 192.168.1.0/24, usted puede diseñar una regla que instruya al dispositivo de red de Internet (por ejemplo, eth0) para que descargue los paquetes a ese dispositivo con una dirección en su rango IP de LAN.
Puesto que, como política predeterminada, se recomienda rechazar los paquetes reenviados, cualquier otra dirección IP engañosa para el dispositivo externo (eth0) es rechazada automáticamente.
[root@myServer ~ ] # iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

Nota

Hay una diferencia entre los destinos DROP y REJECT cuando se emplean las reglas appended.
El destino REJECT niega acceso y retorna un error de connection refused para usuarios que intentan conectar el servicio. El destino DROP, como su nombre lo indica, lanza el paquete sin ninguna advertencia.
Está a discreción de los administradores el uso de estos destinos. Sin embargo, para evitar la confusión de usuario e intentos de continuar conectado, se recomienda el destino REJECT.