Chuyên đề S1

GVHD : Nguyễn Thị Thanh Vân

MỤC LỤC
Phần I : TỔNG QUAN VỀ FIREWALL .............................................................................. 3
I. Giới thiệu về Firewall ...................................................................................................... 3
1. Firewall là gì? ....................................................................................................................................... 3
2. Các loại Firewall: .................................................................................................................................. 3
3. Cấu trúc Firewall : ................................................................................................................................ 4
4. Chức năng của Firewall ........................................................................................................................ 7

II. Nguyên lý hoạt động ........................................................................................................ 8
III. Ưu điểm của Firewall ....................................................................................................... 8
IV. Nhược điểm ...................................................................................................................... 8
V. Một số sản phẩm của Firewall ......................................................................................... 9
Phần II: IPTABLES ................................................................................................................ 9
I. Giới thiệu về Iptables ....................................................................................................... 9
II. Cài đặt Iptables................................................................................................................ 10
III. Cơ chế xử lý package trong Iptables ............................................................................. 13
1. Mangle table: ...................................................................................................................................... 13
2. Filter queue: ........................................................................................................................................ 13
3. NAT queue:......................................................................................................................................... 13

IV. Target và Jumps ............................................................................................................. 14
1. Jupms: ................................................................................................................................................. 14
2. Target: ................................................................................................................................................. 14

V. Một số lệnh trong Iptables.............................................................................................. 15
1. Một số lệnh thương dùng: ................................................................................................................... 15
2. Những giao thức thường dùng ............................................................................................................ 16
3. Những điều kiện mở rộng thường dùng .............................................................................................. 16
4. Một số ví dụ: ....................................................................................................................................... 17

VI. Iptables script................................................................................................................. 18
1. Lưu Iptables script: ............................................................................................................................. 18
2. Sao lưu và phục hồi script ................................................................................................................... 18

Phần III : Cấu hình một số chức năng của IPTABLES .................................................... 19
I. Mô hình mạng ................................................................................................................ 19
II. Cài đặt cơ bản Iptables ................................................................................................... 20
Nhóm 10

Page 1

Chuyên đề S1

GVHD : Nguyễn Thị Thanh Vân

1. Kiểm tra dịch vụ Iptables cài đặt chưa ................................................................................................ 20
2. Khởi động Iptables .............................................................................................................................. 20
3. Xem trạng thái của Iptables ................................................................................................................ 21
4. Xem file cấu hình Iptables .................................................................................................................. 22
5. Lưu Iptables ........................................................................................................................................ 23
6. Cho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động: .................................................. 23

III. Cấu hình Filter................................................................................................................ 23
1. Ping ..................................................................................................................................................... 23
2. SSH : Port 22 ...................................................................................................................................... 26
3. Telnet : Port 23.................................................................................................................................... 28
4. HTTP : Port 80 .................................................................................................................................... 30

IV. Cấu hình Nat .................................................................................................................. 33
1. Nat In .................................................................................................................................................. 33
2. Nat Out ................................................................................................................................................ 37

Nhóm 10

Page 2

Chuyên đề S1

GVHD : Nguyễn Thị Thanh Vân

Phần I : TỔNG QUAN VỀ FIREWALL
I. Giới thiệu về Firewall
1. Firewall là gì?
-

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật được thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn.

-

Firewall là một kỹ thuật được tích hợp vào hệ thống để chống lại các truy cập trái
phép, nhằm bảo vệ các nguồn thôn tin nội bộ và hạn chế sự xâm nhập không mong
muốn vào hệ thống.

-

Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất
cả các luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.

-

Thông thường Firewall đựợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ
chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn
chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên
trong (Intranet) tới một số địa chỉ nhất định trên Internet.

2. Các loại Firewall:
 Firewall cứng : Là những firewall được tích hợp trên Router.
 Đặc điểm của Firewall cứng:
- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc
như firewall mềm)
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng
Transport)
- Firewall cứng không thể kiểm tra được nột dung của gói tin.
 Ví dụ về Firewall cứng: NAT (Network Address Translate).

Nhóm 10

Page 3

Hơn nữa. Norton Firewall… 3.  Đặc điểm của Firewall mềm: . bớt các quy tắc.  Ví dụ về Firewall mềm: Zone Alarm. Cấu trúc Firewall : Bao gồm 1 hoặc nhiều các thành phần sau  Bộ lọc packet (packet.Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng) . .Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).  Ưu điểm .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Firewall mềm: Là những Firewall được cài đặt trên Server.filtering router). Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header). vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.. các chức năng.) được phép mới chạy được trên hệ thống mạng cục bộ.Ngoài ra. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó. bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng. hoặc chỉ có những dịch vụ nào đó (Telnet. FTP. Nhóm 10 Page 4 . Nếu không packet sẽ bị bỏ đi. hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.Tính linh hoạt cao: Có thể thêm. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định.  Nguyên lý hoạt động : - Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không.) - Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. ..Đa số các hệ thống firewall đều sử dụng bộ lọc packet. dùng để cho phép truyền các packet đó ở trên mạng. SMTP.

Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó. Những biện pháp đảm bảo an ninh của một bastion host là: . proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. nó không thể bị tấn công. rất khó để quản lý và điều khiển.Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ. cũng như là đảm bảo sự tích hợp firewall. - Do làm việc dựa trên header của các packet. bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài.  Cổng ứng dụng (Application-level gateway hay proxy server)  Nguyên lý: . các luật lệ vể lọc càng trở nên dài và phức tạp. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. các dạng packet header.Một cổng ứng dụng thường được coi như là một pháo đài (bastion host). Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Hạn chế - Việc định nghĩa các chế độlọc package là một việc khá phức tạp. . Nhóm 10 Page 5 . Thông thường. giao thức được cho phép truy cập vào hệ thống mạng. Khi đòi hỏi vể sự lọc càng lớn.Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). và các giá trị cụ thể có thể nhận trên mỗi trường. Ngoài ra. Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System. đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet. dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. đơn giản chỉ vì nếu một dịch vụ không được cài đặt. rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service.

và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. hay tháo gỡ môt proxy đang có vấn để. Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép. bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. mỗi sự kết nối. bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. Tuy nhiên. khoảng thời gian kết nối. Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân DNS.  Hạn chế: Yêu cầu các users thay đổi thao tác. hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới. Nhóm 10 Page 6 . Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau. Chẳng hạn. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt. Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. FTP. Mỗi proxy đều độc lập với các proxies khác trên bastion host. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. ví dụ như user password hay smart card.  Ưu điểm: Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. SMTP và xác thực user là được cài đặt trên bastion host. Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi.

Tuy nhiên. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến. 4.  Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. + Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. + Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.  Cổng vòng thường được sử dụng cho những kết nối ra ngoài. cấm địa chỉ truy nhập + Kiểm soát người sử dụng và việc truy cập của người sử dụng. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet. + Theo dõi luồng dữ liệu mạng giữa Internet và Intranet + Kiểm soát địa chỉ truy nhập. Nhóm 10 Page 7 .Cổng vòng làm việc như một sợi dây. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra. Chức năng của Firewall  Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. nó che dấu thông tin về mạng nội bộ. nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong.sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). và cổng vòng cho các kết nối đi. vì sự kết nối này xuất hiện từ hệ thống firewall. trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. lọc hay điều khiển các thủ tục Telnet nào.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Cổng mạch (Circuite level gateway)  Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng.

- Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. thoát khỏi khả năng kiểm soát của firewall - Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. giúp cho ta chống được các cơ chế tấn công - Đa số các hệ thống firewall đều sử dụng bộ lọc packet nên ưu điểm của nó là : + Chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Nguyên lý hoạt động - Firewall hoạt động chặt chẽ với giao thức TCP/IP. III.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân II. các dạng packet header - Khi lọc càng lớn. - Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua. Vì vây. các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. vì giao thức này làm việc theo thuật tóan chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng. Nhóm 10 Page 8 . sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu. - Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header). - Chú ý: Việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của packet. Nhược điểm - Đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet. Ưu điểm của Firewall - Giới hạn được số lượng kết nối. các luật về lọc càng trở nên dài và phức tạp. + Cài đặt dễ và đơn giản + Có thể cảnh báo trước các cuộc tấn công (vd : phát hiện quét cổng) IV. rất khó để quản lý và điều khiển. Cho nên. dùng để cho phép truyền các packet đó ở trên mạng. nếu không thỏa thì sẽ bị loại bỏ. - Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó.

USB . Giới thiệu về Iptables - Iptables do Netfilter Organiztion viết ra để tăng tính năng bảo mật trên hệ thống Linux. - Iptables cung cấp các tính năng sau: + Tích hợp tốt với kernel của Linux. + Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header + Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống + Cung cấp kỹ thuật NAT + Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS (Denial of Service attack) Nhóm 10 Page 9 . Phần II: IPTABLES I. - Ví dụ : + Sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm . CD + Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). + Có khả năng phân tích package hiệu quả. Một số sản phẩm của Firewall - Một số sản phẩm về lọc packet trong Linux: + Iptables + Ipchains + SmoothWall Chúng ta nên dùng iptables. + Và điển hình là các virus máy tính V.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi - qua” nó. Ipchains đã lỗi thời.

rpm.  Cho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động: # chkconfig iptables on. Cài đặt Iptables - Thông thường thì iptables được cài đặt mặc định trong hệ thống Linux.  Khởi động iptables: # service iptables start. gói tin của iptables trong Linux là iptables-version.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân II.rpm (với version là phiên bản iptables cần cài đặt)  Cài đặt dịch vụ iptables: # rpm –ivh iptables-version.  Xác định trạng thái của iptables: # service iptables status  Lưu Iptables : # service iptables save  Mở file cấu hình Iptables: # vi /etc/sysconfig/iptables  Sửa file cấu hình Iptables: # gedit /etc/sysconfig/iptables Nhóm 10 Page 10 .  Tắt iptables: # service iptables stop.  Tái khởi động: # service iptables restart.

chọn Firewall configuration Nhóm 10 Page 11 .Chuyên đề S1 - Màn hình sau khi mở file cấu hình Iptables - Dùng giao diện để cấu hình Firewall GVHD : Nguyễn Thị Thanh Vân + Gõ setup.

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân + Chọn Enabled cho dòng Security level chọn Custumize + Đánh dấu vào các dịch vụ muốn cho qua Firewall. Ví dụ như SSH. HTTP… Nhóm 10 Page 12 . Telnet.

TTL. Quá trình NAT sẽ thực hiện trước khi thực thi cơ chế routing. NAT queue: Thực thi chức năng NAT (Network Address Translation). 3. + Output chain: Lọc gói tin đi ra firewall. Có ba loại built-in chain được mô tả để thực hiện các chính sách về firewall ( firewall policy rules) + Forward chain: Lọc gói tin đi qua firewall.  NAT queue. - Có ba loại bảng trong iptables:  Mangle table. cung cấp hai loại built-in chains sau đây: + Pre-routing chain: NAT từ ngoài vào trong nội bộ. Thông thường loại table này được ứng dụng trong mạng SOHO (Small Office and Home Office). Filter queue: Chịu trách nhiệm thiết lập bộ lọc packet (packet filtering). + Input chain: Lọc gói tin đi vào firewall. Cơ chế xử lý package trong Iptables - Iptables sẽ kiểm tra tất cả các package khi nó đi qua iptables host.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân III. Điều này thuận lợi cho việc đổi địa chỉ đích để Nhóm 10 Page 13 . 1. MARK. quá trình kiểm tra này được thực hiện một cách tuần tự entry đầu tiên đến entry cuối cùng. Mangle table: Chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP header như TOS .  Filter queue. + PREROUTING + POSTROUTING + OUTPUT + INPUT + FORWARD 2.

Jupms: Là cơ chế chuyển một packet đến một target nào đó để xử lý thêm một số thao tác khác. + ACCEPT: iptables chấp nhận chuyển data đến đích. được gọi là Source NAT hay SNAT. Với tùy chọn thông dụng là --reject-with qualifier. MASQUERADE. DNAT. Nếu luật cuối cùng không match thì sẽ drop packet. + REJECT: ngăn chặn packet và gởi thông báo cho sender. + LOG: thông tin của packet sẽ gởi vào syslog daemon iptables tiếp tục xử lý luật tiếp theo trong bảng mô tả luật. LOG. khi cấu hình ta có thể dùng khóa DNAT để mô tả kỹ thuật này. + DNAT: thay đổi địa chỉ đích của packet.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân địa chỉ tương thích với bảng định tuyến của firewall. + DROP: iptables khóa những packet. Với tùy chọn thông dụng là --log-prefix=”string”. tức qualifier chỉ định loại reject message sẽ được gởi lại cho người gởi. Các target được xây dựng sẵn trong iptables như: ACCEPT. REJECT. Quá trình này nhằm thay đổi địa chỉ nguồn của gói tin. 2. DROP. SNAT. Tùy chọn là --to-destination ipaddress. Target và Jumps 1. IV. tức iptables sẽ ghi nhận lại những message bắt đầu bằng chuỗi “string”. Kỹ thuật này được gọi là NAT one-to-one hoặc many-to-one. Target: Là cơ chế hoạt động trong iptables. + SNAT: thay đổi địa chỉ nguồn của packet. Quá trình NAT sẽ thực hiện sau khi thực hiện cơ chế định tuyến. dùng để nhận diện và kiểm tra packet. + Post-routing chain: NAT từ trong ra ngoài. Tùy chọn là --to-source <address>[-address][:<port>-<port>] Nhóm 10 Page 14 .

-j <target> : Nhảy đến một target chain khi packet thỏa luật hiện tại. Một số lệnh trong Iptables 1. -N <chain-name> : Tạo chain mới. chỉ định dãy port nguồn sẽ ánh xạ với dãy port ban đầu. -X <chain-name> : Xóa chain tự tạo  Ví dụ: + # iptables -P INPUT DROP : Đặt chính sách cho chain INPUT là DROP.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân + MASQUERADING: được sử dụng để thực hiện kỹ thuật NAT (giả mạo địa chỉ nguồn với địa chỉ của interface của firewall). -A : Thêm luật vào cuối iptables chain.0/8 -o eth0 -j MASQUERADE : một rule trong bảng nat.0.0. -t <table> : Chỉ định bảng cho iptables bao gồm: filter. + # iptables -F INPUT : xóa tất cả luật của chain INPUT. . + # iptables -t nat -A POSTROUTING -s 10.  Ví dụ: + # iptables -A INPUT -j ACCEPT : chấp nhận tất cả các gói tin gửi đến cho Firewall. . Tùy chọn là [--to-ports <port>[<port>]]. -P <chain-name> : Thay đổi chính sách của chain -F <chain-name> : Xóa tất cả các luật trong chain lựa chọn. + # iptables -N ChainMoi + # iptables -X ChainMoi Lưu ý: không thể xóa những built-in chain Nhóm 10 Page 15 . Khi một gói tin vào mà không thỏa bất kỳ rule nào của chain thì nó sẽ xử lý gói tin theo chính sách. Một số lệnh thương dùng:  # iptables [tham số chuyển mạch] . mangle tables. V. + # iptables -F OUTPUT : xóa tất cả luật của chain OUTPUT. + # iptables -F : xóa tất cả các luật của tất cả các chain. nat.

Những giao thức thường dùng -p tcp --sport <port> : TCP port nguồn (source port ). port>: Nhiều port nguồn khác nhau của TCP/UDP được phân cách bởi dấu phẩy (. Có thể là một giá trị hoặc một dãy có dạng: start-port:end-port.2 -p tcp --sport 1024:65535 --dport 80 -j ACCEPT Firewall chấp nhận các gói dữ liệu có giao tiếp (protocols) là TCP .0. -p tcp --dport <port> : TCP port đích -p tcp --syn : Dùng để nhận dạng một yêu cầu kết nối TCP mới -p udp --sport <port> : UDP port nguồn -p udp --dport <port>: UDP port đích -p icmp --icmp-type <type>: ICMP-Type thường dùng nhất là echo-reply và echo-request. Đây là liệt kê các port chứ không phải là một dãy liên tục các port.2 qua card mạng eth1.).0. đến từ card mạng eth0 . Những điều kiện mở rộng thường dùng  -m multiport --sport <port. 3. port>: TCP/UDP port đích.16. có địa chỉ IP nguồn là bất kỳ . Nhóm 10 Page 16 .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân -p <protocol-type> : Mô tả các giao thức bao gồm: icmp. port> : Không phân biệt port đích hay port nguồn.  Ví dụ : # iptables -A FORWARD -s 0/0 -i eth0 -o eth1 -d 172. Số port nguồn là từ 1024 đến 65535 và port đích là 80 (www/http). udp và all -s <ip-address> : Chỉ định địa chỉ nguồn -d <ip-address> : Chỉ định địa chỉ đích -i <interface-name> : Chỉ định “input” interface nhận packet -o <interface-name> : Chỉ định “output” interface chuyển packet ra ngoài 2. đi đến địa chỉ 172.  -m multiport --dport <port. tcp.16.  -m multiport --ports <port.

24. INVALID .28. + NEW : Gói dữ liệu là bắt đầu của một kết nối mới.28. /minute. + INVALID : Gói dữ liệu không thể nhận dạng được. RELATED .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  -m state --state <state> : Các trạng thái <state> thông dụng là: ESTABLISHED . Thông thường đây là đặc điểm của giao thức FTP hoặc lỗi ICPM.199  # iptables -A INPUT -s 0/0 -i eth0 -d 172. Một số ví dụ:  Ví dụ 1: FireWall chấp nhận cho bất kỳ TCP packet đi vào interface eth0 đến địa chỉ 172. + RELATED : Gói dữ liệu là bắt đầu một kết nối phụ.  -m limit --limit 1/s: Chỉ định số lượng phù hợp cho một đơn vị thời gian theo dạng(/second. /hour.24.199 -p tcp -j ACCEPT  Ví dụ 2: FireWall cho phép gởi icmp echo-request và icmp echo-reply  # iptables -A OUPUT -p icmp --icmp-type echo-request -j ACCEPT  # iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT  Ví dụ 3: Cho phép truy xuất DNS đến FireWall  # iptables -A OUTPUT -p udp -o eth0 --dport 53 –sport 1024:65535 -j ACCEPT  # iptables -A INPUT -p udp -i eth0 --dport 53 –sport 1024:65535 -j ACCEPT  Ví dụ 4: Cho phép WWW và ssh truy xuất tới FireWall  # iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED. /day) 4. NEW . RELATED -j ACCEPT  # iptables -A INPUT -p tcp -i eth0 --dprt 22 --sport 1024:65535 -m state \ -state NEW -j ACCEPT  # iptables -A INPUT -p tcp -i eth0 --dport 80 --sport 1024:65535 -m state \ -state NEW -j ACCEPT Nhóm 10 Page 17 .  Trạng thái của gói dữ liệu: + ESTABLISHED : Gói dữ liệu là một phần của kết nối đã được thiết lập bởi cả hai hướng.

ta phải lưu script lại dùng lệnh: # iptables-save > script_du_phong - Khi cần phục hồi ta nạp lại iptables thông qua lệnh iptables-restore # iptables-restore < script_du_phong - Cuối cùng. Đầu tiên. Lưu Iptables script: - Lệnh service iptables save để lưu lại các rule vào file # /etc/sysconfig/iptables. Sao lưu và phục hồi script - Để có thể phục hồi script khi mất script file.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân VI. ta dùng lệnh để lưu trữ lại các luật vào file cấu hình: # service iptables save Nhóm 10 Page 18 . 2. - Khi ta khởi động lại thì chương trình iptables-restore sẽ đọc lại file script này và kích hoạt lại thông tin cấu hình. Iptables script 1.

0.0.168.0.0. một card mạng ra ngoài Internet với IP 192.0.1  Máy ngoài Internet có 1 card mạng với IP 192.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân Phần III : Cấu hình một số chức năng của IPTABLES I.168.0. Mô hình mạng  Cài đặt :  Máy Client có một card mạng để ở chế độ Host với IP 10.0.1 .2  Máy Firewall có 2 card mạng 1 ở chế độ host với địa chỉ IP 10. Firewall ping thấy nhau  Máy ở ngoài Internet ping thấy máy Firewall và ngược lại Nhóm 10 Page 19 .2  Yêu cầu :  Các máy Client .4  Máy Web-Mail có một card mạng để ở chế độ Host với IP 10.0. Web-Mail .

Chuyên đề S1 II. Kiểm tra dịch vụ Iptables cài đặt chưa  Dùng lệnh : # rpm –qa iptables 2. Khởi động Iptables  Dùng lênh : Nhóm 10 # service iptables start Page 20 . GVHD : Nguyễn Thị Thanh Vân Cài đặt cơ bản Iptables 1.

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân 3. Xem trạng thái của Iptables  Dùng lệnh: Nhóm 10 # service iptables status Page 21 .

Xem file cấu hình Iptables  Dùng lệnh : # iptables –L  Dùng lệnh # vi /etc/sysconfig/iptables Nhóm 10 Page 22 .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân 4.

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân 5. Cấu hình Filter 1. Lưu Iptables  Dùng lệnh : # service iptables save 6. Cho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động: # chkconfig iptables on III. giờ chúng ta sẽ chặn không cho các máy này ping thấy nhau  Từ máy Firewall . Ping  Mô tả : mặc định thì các máy trong hệ thống có cùng dãy mạng sẽ ping thấy nhau . ta mở file cấu hình Iptables lên bằng lệnh # vi /etc/sysconfig/iptables Nhóm 10 Page 23 .

chúng ta muốn chặn ping thì thêm # trước Rule này .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Ở dòng 13 là Rule cho phép ping . hoặc đổi ACCPECT thành DROP Nhóm 10 Page 24 .

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân Hoặc là Drop  Sau đó Lưu rule vừa chỉnh sửa lại và restart iptables bằng lệnh # service iptables restart Nhóm 10 Page 25 .

SSH : Port 22  Mô tả : Iptables của máy Firewall cho phép hoặc chặn không cho các máy trong mạng Lan SSH tới máy Firewall  Trong phần cài đặt ta cho phép dịch vụ SSH được thông qua  Sau đó ta mở file cấu hình iptables bằng lệnh # vi /etc/sysconfig/iptables  Ở dòng 21 là Rule cho phép dịch vụ telnet thông qua Nhóm 10 Page 26 .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân 2.

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Chặn dịch vụ SSH bằng cách thêm # vào dòng 21 Nhóm 10 Page 27 .

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Sau đó lưu rule vừa chỉnh sửa lại và restart iptables bằng lệnh # service iptables restart 3. Telnet : Port 23  Mô tả : Iptables của máy Firewall cho phép hoặc chặn không cho các máy trong mạng Lan telnet tới máy Firewall  Trong phần cài đặt ta cho phép dịch vụ telnet được thông qua Nhóm 10 Page 28 .

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Sau đó ta mở file cấu hình iptables bằng lệnh # vi /etc/sysconfig/iptables  Ở dòng 21 là Rule cho phép dịch vụ telnet thông qua  Chặn dịch vụ telnet bằng cách thêm # vào dòng 21 Nhóm 10 Page 29 .

nói cách khác đi qua port 80 : HTTP và HTTPS port 443 trên iptables ta cho phép hoặc chặn các máy trong mạng Lan sử dụng web  Trong phần cài đặt ta cho phép dịch vụ HTTP hoặc là HTTPS được thông qua Nhóm 10 Page 30 .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Sau đó lưu rule vừa chỉnh sửa lại và restart iptables bằng lệnh # service iptables restart 4. HTTP : Port 80  Mô tả : các máy trong mạng Lan có thể kết nối được Internet và vào được các trang web thông qua các trình duyệt .

22 là Rule cho phép dịch vụ HTTP.HTTPS thông qua Nhóm 10 Page 31 .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Sau đó ta mở file cấu hình iptables bằng lệnh # vi /etc/sysconfig/iptables  Ở dòng 21.

Nhóm 10 Page 32 .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Chặn dịch vụ HTTP và HTTPS bằng cách thêm # vào dòng 21. 22  Sau đó lưu rule vừa chỉnh sửa lại và restart iptables bằng lệnh # service iptables restart  Tương tự cho các dịch vụ còn lại  Chú ý :  Khi mở file cấu hình iptables bằng lệnh # vi /etc/sysconfig/iptables Ta muốn sửa cấu hình thì ta nhấn chữ “a” và lưu lại “:x” .

ta phải lưu lại và restart lai iptables thì Rule đó mới được thực thi IV.Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Ta có thể mở cấu hình iptables bằng lệnh # gedit /etc/sysconfig/iptables và ta có thể sửa và lưu trực tiếp trên file cấu hình  Sau khi thay đổi Rule bất kì . thì ta phải dùng kĩ thuật Nat In  Ở máy Firewall vào setup ta cho phép các các dịch vụ được thông qua các card mạng  Ở Trusted Devices ta đánh dấu vào các card mạng Nhóm 10 Page 33 . muốn truy cập vào Web-Mail server của mạng Lan . Nat In  Mô tả : Các máy ngoài Internet . Cấu hình Nat 1.

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Thực hiện switching ( định tuyến) giữa các card mạng  Nhập dòng lệnh Nat In  Lưu file cấu hình iptables lại bằng lệnh # service iptables save  Khởi động lại dịch vụ dùng lệnh # service iptables restart Nhóm 10 Page 34 .

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Cho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động: # chkconfig iptables on  Mở lại file cấu hình iptables xem Nat In đã được thực hiện chưa Nhóm 10 Page 35 .

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Sau đó từ 1 máy ở ngoài Internet bất kì có thể sử dụng Web của hệ thống mình Nhóm 10 Page 36 .

Nat Out  Mô tả : Cho phép các máy trong mạng Lan kết nối được ra ngoài Internet  Ở máy Firewall vào setup ta cho phép các các dịch vụ được thông qua các card mạng  Ở Trusted Devices ta đánh dấu vào các card mạng  Thực hiện switching ( định tuyến) giữa các card mạng Nhóm 10 Page 37 .Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân 2.

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Nhập dòng lệnh Nat Out  Lưu file cấu hình iptables lại bằng lệnh # service iptables save  Khởi động lại dịch vụ dùng lệnh # service iptables restart Nhóm 10 Page 38 .

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân  Cho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động: # chkconfig iptables on  Mở lại file cấu hình iptables xem Nat Out đã được thực hiện chưa  Sau đó từ 1 máy ở mạng Lan bất kì có thể kết nối với internet Nhóm 10 Page 39 .

Sign up to vote on this title
UsefulNot useful