Фильтрация адреса источника.
Все IP пакеты содержат в своих заголовках IP адреса источника и получателя и тип IP протокола помещенного в пакет (TCP, UDP, ICMP). Единственным средством идентификации согласно протоколу IP является адрес источника сообщений. Это приводит к возможности подмены адреса (spoofing), когда злоумышленник заменят адрес источника на несуществующий адрес или на адрес другого сервера.
# Отбрасывание spoof-пакетов, с адресом источника совпадающим с вашим внешним адресом.
ipchains -A input -i $EXTERNAL_INTERFACE -s $IPADDR -l -j DENY
Существует по крайней мере семь адресов на внешнем интерфейсе от которых необходимо отказаться. К ним относятся:
вашего внешнего IP адреса
от приватных IP адресов класса A
от приватных IP адресов класса B
от приватных IP адресов класса C
от широковещательного адреса класса D
от зарезервированных адресов класса E
от loopback интерфейса
Блокировка исходящих пакетов, содержащих подобные исходные адреса, за исключением вашего IP адреса, защищает от ошибок конфигурации с вашей стороны.
Замечание. Не забудьте исключить ваш собственный IP адрес из списка исходящих блокируемых пакетов. По умолчанию, я исключаю приватные адреса класса C, так как они наиболее часто используются большинством людей сегодня. Если вы использовали другой класс вместо C, то вы должны раскомментировать соответствующие строки в секции “SPOOFING & BAD ADDRESSES” файла конфигурации файрвола.