7.6. Vírus e Endereços IP Espionados (spoofed)

Outras regras elaboradas podem ser criadas para controlar o acesso a sub-redes específicas, ou até a nódulos específicos, dentro de uma LAN. Você também pode restringir que determinados serviços dúbios, como trojans, vermes, e outros vírus de clientes/servidor, contatem seu servidor. Por exemplo: há alguns trojans que scaneam redes para serviços nas portas de 31337 a 31340 (chamadas portas de elite na linguagem dos crackers). Como não há serviços legítimos que comunicam através destas portas fora do padrão, bloqueá-los pode diminuir efetivamente as chances de nódulos potencialmente infectados em sua rede se comunicarem independentemente com seus servidores mestres remotos.

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

Você também pode bloquear as conexões externas que tentam espionar intervalos de endereços IP privados a fim de infiltrarem em sua LAN. Por exemplo: se uma LAN usa o intervalo 192.168.1.0/24, uma regra pode determinar que o dispositivo de rede que faz a interface com a Internet (eth0, por exemplo) derrube quaisquer pacotes parta este dispositivo com um endereço do intervalo de IP de sua LAN. Como norma default, é recomendado rejeitar pacotes encaminhados, portanto qualquer outro endereço IP espionado ao dispositivo que faz a interface externa (eth0) será rejeitado automaticamente.

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP