محافظت شبکه خصوصی از کلاهبرداری IP
یک راه برای محافظت شبکه خصوصی از کلاهبرداری IP بسته ها، بررسی آدرس های خارجی روی دستگاه اترنت است که به شبکه خصوصی تخصیص یافته است. در این مثال، هر بسته روی دستگاه eth1 (متعلق به شبکه خصوصی) که آدرسش، از شبکه خصوصی نیست ( ! -s 192.168.0.0 ) مسدود می شود. همچنین بررسی کنید تا ببینید آیا هر بسته ای که از خارج می آید، شبکه خصوصی به عنوان آدرس مبدأ آن است یا خیر. در این مثال، هر بسته با آدرس مبدأ شبکه خصوصی روی هر دستگاه اترنت به جز شبکه خصوصی (eth1) مسدود می گردد. همان روش می تواند برای میزبان محلی نیز اعمال شود.
# IP spoofing, deny any packets on the internal network
# that has an external source address.
iptables -A INPUT -j LOG -i eth1 \! -s 192.168.0.0/24
iptables -A INPUT -j DROP -i eth1 \! -s 192.168.0.0/24
iptables -A INPUT -j FORWARD -i eth1 \! -s 192.168.0.0/24
# IP spoofing, deny any outside packets (any not on eth1)
# that have the source address of the internal network
iptables -A INPUT -j DROP \! -i eth1 -s 192.168.0.0/24
iptables -A FORWARD -j DROP \! -i eth1 -s 192.168.0.0/24
# IP spoofing, deny any outside packets with localhost address
# (packets not on the lo interface (ant on eth0 or eth1)
# that have the source address of location)
iptables -A INPUT -j DROP -i \! lo -s 192.168.0.0/24
iptables -A FORWARD -j DROP -i \! lo -s 192.168.0.0/24
سپس قوانین را تنظیم می کنید تا به تمام بسته های ارسالی و دریافتی در سیستم خود (میزبان محلی) اجازه دهید تا عبور کنند :
iptables -A INPUT -j ACCEPT -i lo