7.6. Viren und geknackte IP-Adressen

Es können auch kompliziertere Regeln erstellt werden, die den Zugang zu bestimmten Subnetzwerken oder sogar Netzwerkknoten innerhalb eines LAN kontrollieren. Man kann auch diverse dubiose Dienste einschränken, wie Trojans, Worms und andere Client/Server Viren. Es gibt zum Beispiel einige Trojans, die Netzwerke nach Diensten durchsuchen, und zwar von Port 31337 bis 31340 (in der Cracker-Sprache die elitärenPorts genannt). Da es keine legitimierten Dienste gibt, die mit diesen nicht standardmäßigen Ports kommunizieren, kann es sehr hilfreich sein, sie zu blockieren. Die Chance, dass potentiell infizierte Netzwerkknoten in Ihrem Netzwerkes unabhängig mit ihren auswärtigen Master-Servern kommunizieren, wird so gering gehalten.

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

Sie können auch Verbindungen von außen blockieren, die versuchen, eine Reihe von privaten IP-Adressen zu knacken, um Ihren LAN infiltrieren zu können. Wenn Ihr LAN die 192.168.1.0/24 Reihe verwendet, kann zum Beispiel eine Regel aufgestellt werden, dass alle Pakete ausgelassen werden, die eine IP-Adresse haben, wie Sie in Ihrem LAN vorkommt. Da als Standard-Richtlinie empfohlen wird, weitergeleitete Pakete zurückzuweisen, werden auch andere geknackte IP-Adressen automatisch vom nach außen gerichteten Gerät (eth0) zurückgewiesen.

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP