Red Hat Enterprise Linux 4: Manual de seguridad
Anterior	Capítulo 7. Cortafuegos	Siguiente

7.5. Viruses y direcciones IP simuladas

Se pueden crear reglas más elaboradas que controlan el acceso para subredes específicas, o hasta nodos específicos, dentro de una LAN. También puede restringir que ciertos servicios dudosos tales como troyanos, gusanos y otros viruses cliente/servidor contacten a su servidor. Por ejemplo, hay algunos troyanos que pueden escanear redes por servicios en los puertos desde 31337 hasta 31340 (llamados los puertos élite en terminología de cyberpiratas). Puesto que no hay servicios legítimos que se comuniquen a través de estos puertos no-estándar, el bloquearlos puede efectivamente disminuir las posibilidades de que nodos potencialmente infectados en su red se comuniquen de forma independiente con sus servidores remotos maestros.

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

También puede bloquear las conexiones externas que intentan simular intervalos de direcciones IP privadas para infiltrar su LAN. Por ejemplo, si su LAN utiliza el intervalo 192.168.1.0/24, una regla puede configurar el dispositivo de red con cara a la Internet (por ejemplo, eth0) que descarte cualquier paquete a ese dispositivo con una dirección en su intervalo IP de LAN. Puesto que como política preestablecida, se recomienda rechazar a todos los paquetes reenviados, cualquier otra dirección IP simulada al dispositivo en la cara externa (eth0) es rechazada automáticamente.

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

Nota

	Nota
	Hay una diferencia entre `REJECT` y `DROP` cuando se trata con reglas añadidas. El objetivo `REJECT` rechaza el acceso y devuelve un error de `conexión rechazada` a los usuarios que intentan conectarse al servicio. El objetivo `DROP`, como su nombre lo implica, descarta el paquete sin ningún tipo de advertencia a los usuarios. Los administradores pueden usar su propio juicio cuando utilicen estos objetivos; sin embargo, para evitar confusiones e intentos del usuario de continuar conectándose, se recomienda el objetivo `REJECT`.

Hay una diferencia entre REJECT y DROP cuando se trata con reglas añadidas. El objetivo REJECT rechaza el acceso y devuelve un error de conexión rechazada a los usuarios que intentan conectarse al servicio. El objetivo DROP, como su nombre lo implica, descarta el paquete sin ningún tipo de advertencia a los usuarios. Los administradores pueden usar su propio juicio cuando utilicen estos objetivos; sin embargo, para evitar confusiones e intentos del usuario de continuar conectándose, se recomienda el objetivo REJECT.

Anterior	Inicio	Siguiente
Reglas `FORWARD` y NAT	Subir	`iptables` y Seguimiento de conexiones