Red Hat Enterprise Linux 4: Guia de Segurança
Anterior	Capítulo 7. Firewalls	Próxima

7.5. Vírus e Endereços IP Espionados (spoofed)

Outras regras elaboradas podem ser criadas para controlar o acesso a sub-redes específicas, ou até a nódulos específicos, dentro de uma LAN. Você também pode restringir que determinados serviços dúbios, como trojans, vermes, e outros vírus de clientes/servidor, contatem seu servidor. Por exemplo: há alguns trojans que scaneam redes para serviços nas portas de 31337 a 31340 (chamadas portas de elite na terminologia dos crackers). Como não há serviços legítimos que comunicam através destas portas fora do padrão, bloqueá-los pode diminuir efetivamente as chances de nódulos potencialmente infectados em sua rede se comunicarem independentemente com seus servidores mestres remotos.

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

Você também pode bloquear as conexões externas que tentam espionar intervalos de endereços IP privados a fim de infiltrarem em sua LAN. Por exemplo: se uma LAN usa o intervalo 192.168.1.0/24, uma regra pode determinar que o dispositivo de rede que faz a interface com a Internet (eth0, por exemplo) derrube quaisquer pacotes parta este dispositivo com um endereço do intervalo de IP de sua LAN. Como norma default, é recomendado rejeitar pacotes encaminhados, portanto qualquer outro endereço IP espionado ao dispositivo que faz a interface externa (eth0) é rejeitado automaticamente.

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

Nota

	Nota
	Há uma distinção entre `DROP` (derrubar) e `REJECT` (rejeitar) um alvo quando estamos lidando com regras adicionais. `REJECT` um alvo nega acesso e retorna um erro `connection refused` (conexão negada) para usuários que tentarem se conectar ao serviço. A ação `DROP` (derrubar) um alvo, como o nome sugere, derruba os pacotes sem nenhum aviso. Administradores podem usar sua própria prudência ao lidar com estes alvos; entretanto, para evitar a confusão do usuário e tentativas para continuar conectando, a `REJECT` alvo é recomendada.

Há uma distinção entre DROP (derrubar) e REJECT (rejeitar) um alvo quando estamos lidando com regras adicionais. REJECT um alvo nega acesso e retorna um erro connection refused (conexão negada) para usuários que tentarem se conectar ao serviço. A ação DROP (derrubar) um alvo, como o nome sugere, derruba os pacotes sem nenhum aviso. Administradores podem usar sua própria prudência ao lidar com estes alvos; entretanto, para evitar a confusão do usuário e tentativas para continuar conectando, a REJECT alvo é recomendada.

Anterior	Principal	Próxima
Regras `FORWARD` e NAT	Acima	`iptables` e Registro de Conexão