2.5.6. Softwares Maliciosos e Spoof de Endereços IP

Regras mais elaboradas podem ser criadas para controlar acesso à sub-redes específicas ou até nós específicos, dentro de uma LAN. Você pode também restringir certos aplicativos duvidosos ou programas tais como trojans, worms e outros vírus de clientes/servidores de contatar seus servidores.

Por exemplo, alguns trojans escaneiam redes procurando serviços na portas de 31337 até 31340 (chamadas de portas elite na terminologia dos crackers).

Como não há mais serviços legítimos que se comunicam via estas portas não padrão, bloqueá-las pode diminuir efetivamente as chances que nós potencialmente infectados em sua rede se comuniquem de forma independente com seus servidores mestre remotos.

As seguintes regras derrubam todo o tráfego do TCP que tentam usar a porta 31337:

[root@myServer ~ ] # iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
[root@myServer ~ ] # iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

Você também pode bloquear conexões de fora que tentam fazer spoof de variações de endereço IP privados para infiltrar sua LAN.

Por exemplo, se sua LAN usa a classe 192.168.1.0/24, você pode criar uma regra que instrui o dispositivo de rede de internet (por exemplo , eth0) para derrubar todos os pacotes naquele dispositivo com um endereço em sua classe de IP de LAN.

Pelo motivo que é recomendado rejeitar pacotes encaminhados como política padrão, qualquer outro endereço IP forjado ao dispositivo que lida com dados externos (eth0) é rejeitado automaticamente.

[root@myServer ~ ] # iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP