7.5. Viren und geknackte IP-Adressen

Es k�nnen auch kompliziertere Regeln erstellt werden, die den Zugang zu bestimmten Subnetzwerken oder sogar Netzwerkknoten innerhalb eines LAN kontrollieren. Man kann auch diverse dubiose Dienste einschr�nken, wie Trojans, Worms und andere Client/Server Viren. Es gibt zum Beispiel einige Trojans, die Netzwerke nach Diensten durchsuchen, und zwar von Port 31337 bis 31340 (in der Cracker-Sprache die elit�renPorts genannt). Da es keine legitimierten Dienste gibt, die mit diesen nicht standardm��igen Ports kommunizieren, kann das Blockieren dieser Ports die Chance, dass potentiell infizierte Netzwerkknoten in Ihrem Netzwerkes unabh�ngig mit ihren ausw�rtigen Master-Servern kommunizieren, so gering als m�glich gehalten werden.

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

Sie k�nnen auch Verbindungen von au�en blockieren, die versuchen, eine Reihe von privaten IP-Adressen zu knacken, um Ihren LAN infiltrieren zu k�nnen. Wenn Ihr LAN die 192.168.1.0/24 Reihe verwendet, kann zum Beispiel eine Regel aufgestellt werden, dass alle Pakete ausgelassen werden, die eine IP-Adresse haben, wie sie in Ihrem LAN vorkommt. Da als Standard-Richtlinie empfohlen wird, weitergeleitete Pakete zur�ckzuweisen, werden auch andere geknackte IP-Adressen automatisch vom nach au�en gerichteten Ger�t (eth0) zur�ckgewiesen.

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

Anmerkung

Beim Arbeiten mit appended-Regeln wird zwischen den REJECT- und DROP-Zielaktionen unterschieden. REJECT verweigert den Zugriff und zeigt bei Benutzern, die versuchen, sich mit dem Service zu verbinden, einen connection refused Error an. DROP l�sst das Paket ohne jede Warnung f�r telnet Benutzer aus. Die Administratoren k�nnen diese Aktionen nach ihrem eigenem Ermessen verwenden. Es wird allerdings REJECT empfohlen, um Verwirrung beim Benutzer und wiederholte Verbindungsversuche zu vermeiden.