7.5. Viren und geknackte IP-Adressen
Es können auch kompliziertere Regeln erstellt werden, die den Zugang zu bestimmten Subnetzwerken oder sogar Netzwerkknoten innerhalb eines LAN kontrollieren. Man kann auch diverse dubiose Dienste einschränken, wie Trojans, Worms und andere Client/Server Viren. Es gibt zum Beispiel einige Trojans, die Netzwerke nach Diensten durchsuchen, und zwar von Port 31337 bis 31340 (in der Cracker-Sprache die elitärenPorts genannt). Da es keine legitimierten Dienste gibt, die mit diesen nicht standardmäßigen Ports kommunizieren, kann das Blockieren dieser Ports die Chance, dass potentiell infizierte Netzwerkknoten in Ihrem Netzwerkes unabhängig mit ihren auswärtigen Master-Servern kommunizieren, so gering als möglich gehalten werden.
iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP |
Sie können auch Verbindungen von außen blockieren, die versuchen, eine Reihe von privaten IP-Adressen zu knacken, um Ihren LAN infiltrieren zu können. Wenn Ihr LAN die 192.168.1.0/24 Reihe verwendet, kann zum Beispiel eine Regel aufgestellt werden, dass alle Pakete ausgelassen werden, die eine IP-Adresse haben, wie sie in Ihrem LAN vorkommt. Da als Standard-Richtlinie empfohlen wird, weitergeleitete Pakete zurückzuweisen, werden auch andere geknackte IP-Adressen automatisch vom nach außen gerichteten Gerät (eth0) zurückgewiesen.
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP |
 | Anmerkung |
|---|---|
Beim Arbeiten mit appended-Regeln wird zwischen den REJECT- und DROP-Zielaktionen unterschieden. REJECT verweigert den Zugriff und zeigt bei Benutzern, die versuchen, sich mit dem Service zu verbinden, einen connection refused Error an. DROP lässt das Paket ohne jede Warnung für telnet Benutzer aus. Die Administratoren können diese Aktionen nach ihrem eigenem Ermessen verwenden. Es wird allerdings REJECT empfohlen, um Verwirrung beim Benutzer und wiederholte Verbindungsversuche zu vermeiden. |