Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.8.6. 悪意のあるソフトウェアと偽装された IP アドレス

詳細なルールを作成すると、LAN 内の特定のサブネットまたは特定のノードへのアクセスを制御することができます。また、トロイの木馬、ワーム、およびクライアント/サーバーのウイルスなどの特定の疑わしいアプリケーションやプログラムがサーバーに接触することを制限することもできます。
例えば、一部のトロイの木馬は 31337 から 31340 までのポート (クラッキング用語で elite ポートと呼ばれる) にあるサービスについてネットワークをスキャンします。
これらの非標準的なポート経由で通信することが許可されたサービスはないため、それらをブロックしてしまうことで、ネットワーク上の感染の恐れのあるノードがリモートマスターサーバーと独自に通信するリスクを軽減することができます。
以下のルールは、ポート 31337 を使用しようとするすべての TCP トラフィックを接続します。
~]# iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
~]# iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
また、LAN に潜入するためにプライベート IP アドレス範囲になりすましを試みる外部接続をブロックすることもできます。
例えば、LAN が 192.168.1.0/24 範囲を使用している場合、インターネットにつながっているネットワークデバイス (eth0 など) に対し、LAN の IP 範囲にあるアドレスを持つ、そのデバイスへのパケットすべてを破棄するように指示するルールを設計できます。
デフォルトポリシーでは転送パケットを拒否することが推奨されているため、外部につながっているデバイス (eht0) へのいずれの偽装された IP アドレスも自動的に拒否されます。
~]# iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

注記

appended ルールを扱う際には、DROPREJECT ターゲットを区別する必要があります。
REJECT ターゲットは、アクセスを拒否し、サービスに接続するユーザーに connection refused エラーを返します。DROP ターゲットは、名前が示すように、警告なしにパケットを破棄します。
管理者は、各自の裁量でこれらのターゲットを使用できます。