7.5. ウィルスとなりすましIPアドレス

さらに精密なルールを作成して、LAN 内で特定サブネットやさらには特定ノードヘの アクセスを制御することができます。また、トロイ、ワーム、サーバーとの交信によるその他クライアント/サーバーのウィルスなど、特定の疑わしいサービスを制限することもできます。例えば、ポート31337 から31340(クラッキング用語でeliteポートと呼ばれる)上でサービスに対してネットワークをスキャンするトロイがいくつかあります。こうした非標準ポートから通信する正当なサービスはありませんので、これをブロックすると、ネットワーク上の感染の恐れのあるノードが独自にリモートマスターサーバーと通信する可能性を軽減することができます。

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

また、LAN に潜入するためにプライベート IP アドレス範囲になりすまそうとする 外部接続をブロックすることもできます。例えば、LANが192.168.1.0/24 範囲を 使用しているなら、ルールはインターネットに面しているネットワークデバイス (例、eth0)を設定して、すべてのパケットをそのデバイスに LAN の IP 範囲の アドレス付きでドロップします。デフォルトポリシーとしてフォワードされた パケットは拒否する推奨をしているので、外部に面しているデバイス(eht0)への 他のなりすまし IP アドレスはいずれも自動的に拒否されます。

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

注記注記
 

アペンドされたルールを扱うとき、DROP REJECTターゲット との間には相異点があります。REJECT ターゲットは、アクセスを拒否して、サービスに接続を試行するユーザーに connection refusedエラーを返します。 DROPターゲットは名前の通り、何の警告も せずにパケットをドロップします。これらのターゲットは管理者の判断で 使用することができますが、ユーザーが混乱して接続試行をくり返してしまうのを 防ぐためにREJECTターゲットを推奨します。