7.5. 病毒與偽冒 IP 位址
可以建立更精細的規則來控制對區網中特定子網路或甚至特定節點的存取,您也可以限制某些可疑的服務(如木馬程式、蠕蟲與其他用戶端/伺服端的病毒)與他們的伺服器通訊。例如,有許多種木馬程式會掃描網路中的連接埠號 31337 到 31340 (在怪客的語言稱為 精英(elite) 連接埠)的服務,因為沒有任何正當的服務會透過這些非標準連接埠進行通訊。阻隔這些連線將可有效地降低網路中可能受影響的節點與他們遠端的主伺服器進行獨立的連線通訊。
iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP |
您也可以阻隔試圖要偽冒私有 IP 位址範圍以滲透您區域網路的外來連線,舉例來說,假如您的區網使用 192.168.1.0/24 範圍,可以設定一個規則在連接網際網路的網路裝置上(如 eth0),以丟棄(DROP)含有您區網 IP 範圍之 IP 位址的任何封包。因為建議您拒絕轉送的封包來當作一個預設的政策,任何對外部裝置 (eth0) 的其他偽冒的 IP 位址都將會自動被拒絕。
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP |
 | 請注意 |
|---|---|
當您使用附加的(appended)規則時,REJECT 與 DROP 目標動作是有分別的。REJECT 目標將會拒絕存取並且傳回一個拒絕連線(connection refused)的錯誤訊息給想要連線到服務的使用者,而 DROP(如名稱所示)將會丟棄封包,而不給予使用者任何的警告訊息。系統管理員可以自行決定如何使用這些目標,然而為了要避免因為使用者搞不清楚狀況,而不停地試著連線,建議您使用 REJECT。 |