7.6. 病毒和假冒 IP 地址

你可以更精心设计一些规则来控制到 LAN 内指定子网的访问,甚至到指定机器的访问。你还可以限制某些类似特洛伊木马、蠕虫、以及其它客户/服务器病毒的可疑服务联系它们的服务器。例如:有些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会。

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

你还可以阻塞试图假冒你所在 LAN 的专用 IP 地址混入的连接。例如:如果你的 LAN 使用 192.168.1.0/24 范围,面向互联网的网络设备(如 eth0)上就可以设置一条规则来放弃到那个设备的使用你所在 LAN 的 IP 范围的分组。因为默认策略是拒绝转发分组,所有到面向外界的设备(eth0)的假冒 IP 地址都会被自动拒绝。

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP