Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
1Activity
0 of .
Results for:
No results containing your search query
P. 1
Iptables Intro Vi

Iptables Intro Vi

Ratings: (0)|Views: 4 |Likes:
Published by Trần Hữu Vinh

More info:

Published by: Trần Hữu Vinh on Jun 12, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

12/30/2013

pdf

text

original

 
-1 -
Gi
 
i thi
u v
Iptables
Tài li
u này
ư 
c d
ch t
 http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables V
n còn r
t thi
u sót trong tài li
u này . Mong m
i ng
ư 
i
ng h
óng góp ýki
n

tài li
u này hoàn thi
n h
ơ 
n . M
i ý ki
n
óng góp xin g
 
i v
 trannhathuy@gmail.com.Tp H
Chí Minh , 12/2006Nhóm biên d
ch : Tr
n Nh
t HuyHoàng H
i NguyênNgô Trí Hùng Nam
 
-2 -
I. GI
 
I THI
U V
IPTABLES:
B
o m
t m
ng là m
t v
n

quan tr
ng hàng

u

i vi
c l
p m
t website , c
ũ
ngnh
ư
nhi
u d
ch v
khác trên m
ng . M
t trong nh
ng cách b
o v
là s
d
ngfirewall . bài vi
t này s
cho th
y làm sao

chuy
n m
t Linux server thành :
 
M
t firewall

ng th
 
i cho mail server , web server , DNS server.
 
M
t thi
t b
d
n
ư 
ng ( router ) s
dùng NAT và chuy
n ti
p c
ng ( portforwarding )

v
a b
o v
h
th
ng m
ng c
a b
n , v
a cho phép m
t web servercông khai chia s
 

a ch
IP firewall .M
t trong nh
ng firewall thông d
ng nh
t ch
y trên Linux là iptables . Ta s
xemqua m
t s
ch
c n
ă
ng c
a iptables :
 
Tích h
 
p t
t v
 
i Linux kernel ,

c
i thi
n s
tin c
y và t
c

ch
y iptables .
 
Quan sát k
t
t c
các gói d
li
u .
i
u này cho phép firewall theo dõi m
i m
tk
t n
i thông qua nó , và d
 ĩ 
nhiên là xem xét n
i dung c
a t
ng lu
ng d
li
u

t
 
ó tiên li
u hành

ng k
ti
p c
a các giao th
c .
i
u này r
t quan tr
ng trongvi
c h
tr
 
các giao th
c FTP , DNS ….
 
L
c gói d
a trên

a ch
MAC và các c
 
trong TCP header.
i
u này giúp ng
ă
nch
n vi
c t
n công b
ng cách s
d
ng các gói d
d
ng (malformed packets) và ng
ă
nch
n vi
c truy c
p t
n
i b
 

n m
t m
ng khác b
t ch
p IP c
a nó.
 
Ghi chép h
th
ng (System logging) cho phép vi
c
i
u ch
nh m
c

c
a báocáo
 
H
tr
 
vi
c tính h
 
p các ch
ươ 
ng trình Web proxy ch
ng nh
ư
Squid .
 
Ng
n ch
n các ki
u t
n công t
ch
i d
ch v
.
II. S
 
D
NG IPTABLES
1. Kh
 
i

 ng iptables :
Câu l
nh start, stop, và restart iptables .
[root@bigboy tmp]# service iptables start[root@bigboy tmp]# service iptables stop[root@bigboy tmp]# service iptables restart

kh
 
i

ng iptables m
i khi kh
 
i

ng máy .
[root@bigboy tmp]# chkconfig iptables on

xem tình tr
ng c
a iptables
[root@bigboy tmp]# service iptables status
 2. X 
 
lý gói trong iptables:
T
t c
m
i gói d
li
u

u
ư 
c ki
m tra b
 
i iptables b
ng cách dùng các b
ngtu
n t
xây d
ng s
n (queues ) . Có 3 lo
i b
ng này g
m :
 
-3 -
_ Mangle :
ch
u trách nhi
m thay

i các bits ch
t l
ư 
ng d
ch v
trong TCP headernh
ư
TOS (type of service), TTL (time to live), và MARK.
_ Filter :
ch
u trách nhi
m l
c gói d
li
u . Nó g
m có 3 quy t
c nh
(chain)

 giúp b
n thi
t l
p các nguyên t
c l
c gói , g
m :
 
Forward chain: l
c gói khi
i

n

n các server khác .
 
Input chain: l
c gói khi
i vào trong server .
 
Output chain: l
c gói khi ra kh
i server .
_ NAT :
g
m có 2 lo
i :
 
Pre-routing chain: thay

i

a ch
 

n c
a gói d
li
u khi c
n thi
t.
 
Post-routing chain: thay

i

a ch
ngu
n c
a gói d
li
u khi c
n thi
t .
 B
 ng 1 : Các lo
i queues và chain cùng ch
 
 c n
ă
 ng c
 a nó.
Lo
iqueuesCh
 
c n
ă
ngqueuesQuy t
c x
 
lý gói(chain)Ch
 
c n
ă
ng c
a chain
FORWARD L
c gói d
li
u
i

n các server kháck
t n
i trên các NIC khác c
a firewallINPUT L
c gói
i

n firewallFilter L
c góiOUTPUT L
c gói
i ra kh
i firewallNAT NetworkAddressTranslation( Biên d
ch

ach
m
ng )PREROUTING Vi
c thay

i

a ch
di
n ra tr
ư 
c khid
n
ư 
ng. Thay

i

a ch
 
ích s
 giúp gói d
li
u phù h
 
p v
 
i b
ng ch
 
ư 
ng c
a firewall. S
d
ng
destination NAT
or
DNAT
.POSTROUTING Vi
c thay

i

a ch
di
n ra sau khid
n
ư 
ng .S
d
ng
source NAT
, or
SNAT
.OUTPUT NAT s
d
ng cho các gói d
li
u xu
tphát t
firewall . Hi
m khi dùng trongmôi tr
ư 
ng SOHO ( small office -home office) .Mangle Ch
nh s
a TCPheader .PREROUTINGPOSTROUTINGOUTPUTINPUTFORWARD
i
u ch
nh các bit quy

ch ch
t l
ư 
ngd
ch v
tr
ư 
c khi d
n
ư 
ng .Hi
m khi dùng trong môi tr
ư 
ngSOHO ( small office - home office) .

cái nhìn t
ng quát

i v
 
i vi
c l
c và x
lý gói trong iptables , ta xem hình sau :

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->