Red Hat Enterprise Linux 4: Guide de sécurité
Précédent	Chapitre 7. Pare-feu	Suivant

7.5. Virus et adresses IP usurpées

Des règles plus élaborées peuvent être créées qui contrôlent l'accès à des sous-réseaux spécifiques ou même des noeuds spécifiques, au sein d'un LAN. Vous pouvez également restreindre certains services douteux tels que les chevaux de Troie, les vers et d'autres virus client / serveur, à contacter leur serveur. Par exemple, il existe certains chevaux de Troie qui analysent les réseaux et recherchent des services sur les ports 31337 à 31340 (appelés les ports élite en argot de piratage). Vu qu'il n'existe pas de services légitimes qui communiquent via ces ports non standards, le fait de les bloquer réduit les chances qu'ont les noeuds infectés de votre réseau de communiquer indépendamment avec leurs serveurs maîtres à distance.

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

Vous pouvez également bloquer des connexions externes qui essaient d'usurper des gammes d'adresses IP privées afin d'infiltrer votre LAN. Par exemple, si votre LAN utilise la gamme 192.168.1.0/24, une règle peut définir le périphérique réseau faisant face à l'internet (par exemple, eth0) de façon à ne pas prendre en compte tout paquet destiné à ce périphérique ayant une adresse dans votre gamme d'IP du LAN. Vu qu'il est recommandé de rejeter les paquets retransmis en tant que politique par défaut, toute autre adresse IP usurpée vers le périphérique vers l'extérieur (eth0) sera automatiquement rejetée.

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

Remarque

	Remarque
	Il existe une différence entre les actions de cible `REJECT` et `DROP` lorsqu'il s'agit de règles ajoutées. La cible `REJECT` refuse l'accès et renvoie une erreur `connection refused` (connexion refusée) aux utilisateurs qui essaient de se connecter au service. La cible `DROP` ne prend pas en compte les paquets sans avertissement. Les administrateurs peuvent utiliser ces cibles à leur discrétion. Toutefois, pour rendre la situation plus claire et pour éviter que l'utilisateur n'essaie de continuer à se connecter, il est recommandé d'utiliser la cible `REJECT`.

Il existe une différence entre les actions de cible REJECT et DROP lorsqu'il s'agit de règles ajoutées. La cible REJECT refuse l'accès et renvoie une erreur connection refused (connexion refusée) aux utilisateurs qui essaient de se connecter au service. La cible DROP ne prend pas en compte les paquets sans avertissement. Les administrateurs peuvent utiliser ces cibles à leur discrétion. Toutefois, pour rendre la situation plus claire et pour éviter que l'utilisateur n'essaie de continuer à se connecter, il est recommandé d'utiliser la cible REJECT.

Précédent	Sommaire	Suivant
Règles `FORWARD` et NAT	Niveau supérieur	`iptables` et suivi de connexions