7.6. ウィルスとなりすましIPアドレス

さらに精密なルールを作成して、LAN内で特定サブネットやさらには特定ノードヘのアクセスを 制御することができます。また、トロイ、ワーム、サーバーとの交信による その他クライアント/サーバーのウィルスなど、特定の疑わしいサービスを制限することもできます。 例えば、ポート31337 - 31340(クラッキング用語でeliteポートと 呼ばれる)上でサービスに対してネットワークをスキャンするトロイがいくつかあります。 こうした非標準ポートから通信する正当なサービスはありませんので、 これをブロックすると、ネットワーク上の感染した恐れのあるノードが勝手に リモートマスターサーバーと通信する可能性を軽減することができます。

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

また、LANに潜入するためにプライベートIPアドレス範囲になりすまそうとする 外部接続をブロックすることもできます。例えば、LANが192.168.1.0/24 範囲を 使用しているなら、ルールはインターネットに面しているネットワークデバイスを 設定して(例、eth0)、すべてのパケットをそのデバイスにLANのIP範囲のアドレス付きで ドロップします。デフォルトポリシーとしてフォワードされたパケットは拒否するよう推奨して いるので、外部に面しているデバイス(eht0)への他のなりすましIPアドレスはいずれも自動的に 拒否されます。

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP