Для управления доступом к определённым подсетям или даже конкретным узлам локальной сети можно внедрять более проработанные правила. Вы также можете запретить сомнительным службам, таким как троянские кони, черви и другие вирусы, связываться с их сервером. Например, некоторые троянские программы находят сетевые службы, сканируя порты в диапазоне от 31337 до 31340 (на языке взломщиков эти порты называются элитными). Так как эти нестандартные порты не использует ни одна законная служба, их блокировка резко снижает вероятность того, что потенциально заражённые узлы вашей сети смогут связываться с удалёнными серверами, управляющими вирусами.
iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP |
Вы также можете предотвратить попытки проникнуть в вашу локальную сеть извне с поддельным IP-адресом. Например, если ваша сеть имеет адрес 192.168.1.0/24, для сетевого устройства, обращённого к Интернету (например, eth0), можно задать правило, отбрасывающее все приходящие пакеты с IP-адресом из внутренней сети. Если, как рекомендуется, отключить пересылку пакетов в политике по умолчанию, остальные пакеты с поддельными IP-адресами, приходящие на внешний интерфейс (eth0) будут автоматически отбрасываться.
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP |