Red Hat Enterprise Linux 4: Security Guide
Indietro	Capitolo 7. Firewall	Avanti

7.5. Virus e indirizzi IP fasulli

È possibile creare numerose regole complesse in modo da controllare l'accesso a specifiche sottoreti, o addirittura a specifici nodi all'interno di una LAN. Potete limitare anche alcuni servizi sospetti come ad esempio trojans, worm e altri virus client/server dovuti al contatto dei loro server. Per esempio, ci sono alcuni trojan che vanno alla ricerca di servizi della rete su porte con una numerazione che và da 31337 a 31340 (chiamate in gergo le porte elite). A causa della mancanza di servizi legittimi che comunicano attraverso queste porte non-standard, bloccandole si può diminuire considerevolmente la possibilità che nodi infetti presenti sulla vostra rete, possano comunicare indipendentemente con i loro server master remoti.

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

Potete altresì bloccare i collegamenti esterni che cercano di eseguire lo spoof dell'indirizzo IP privato in modo da infiltrarsi nella vostra LAN. Per esempio, se la vostra LAN usa la gamma 192.168.1.0/24, una regola può impostare il dispositivo di rete a contatto con Internet, (ad esempio eth0) in modo da rilasciare qualsiasi pacchetto per quel dispositivo con un indirizzo compreso nella vostra gamma IP LAN. Poichè è consigliato come policy di default, rifiutare i pacchetti inoltrati, qualsiasi altro indirizzo IP soggetto all'azione di spoof per un dispositivo a contatto con l'esterno (eth0), verrà automaticamente rifiutato.

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

Nota Bene

	Nota Bene
	C'è una distinzione tra le azioni dei target `REJECT` e`DROP` nel modo di affrontare le regole aggiunte. Il target `REJECT` rifiuta l'accesso e ritorna un errore del tipo `connection refused`, all'utente che cerca di collegarsi al servizio. `DROP`, come implica il nome, abbandona il pacchetto senza nessun preavviso. Gli amministratori possono usare a loro discrezione questi target; tuttavia, per evitare di confondere l'utente, viene consigliato l'uso del target `REJECT`.

C'è una distinzione tra le azioni dei target REJECT eDROP nel modo di affrontare le regole aggiunte. Il target REJECT rifiuta l'accesso e ritorna un errore del tipo connection refused, all'utente che cerca di collegarsi al servizio. DROP, come implica il nome, abbandona il pacchetto senza nessun preavviso. Gli amministratori possono usare a loro discrezione questi target; tuttavia, per evitare di confondere l'utente, viene consigliato l'uso del target REJECT.

Indietro	Partenza	Avanti
Regole `FORWARD` e NAT	Risali	`iptables` e controllo del collegamento