Professional Documents
Culture Documents
Netfilter/Iptables gồm hai thành phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài
nhân. Với iptables, người quản trị có thể thiết lập các quy tắc trong các bảng của tường lửa
nhằm mục đích kiểm soát các gói tin ra vào hệ thống mạng.
Contents
1. CẤU TRÚC IPTABLES
1.1. TABLES
1.2. CHAINS
1.3. TARGETS
2. RULES
2.1. CÁCH VIẾT RULE
2.2. MỘT SỐ VÍ DỤ
3. LỆNH THAO TÁC IPTABLES
Nói cách khác, nếu bạn muốn xử lý các gói tin trước khi đi ra từ hệ thống, nhưng không thực
hiện NAT hoặc MANGEL, bạn sẽ nhìn vào chains OUTPUT trong bảng FILTER. Nếu bạn muốn
1
xử lý các gói tin từ bên ngoài đi vào hệ thống, bạn nên sử dụng bảng FILTER kết hợp với chain
INPUT.
1.3. TARGETS
TARGETS xác định điều gì sẽ xảy ra với một gói tin trong một chain nếu có một quy tắc
(rule) được tìm thấy trong chain. Hai hành động phổ biến nhất là DROP (loại bỏ) và ACCEPT
(cho phép). Vì vậy, nếu bạn muốn cấm một gói tin, bạn viết một quy tắc phù hợp với lưu lượng
truy cập cụ thể và kết thúc bằng DROP target. Ngược lại, nếu bạn muốn cho phép một cái gì đó,
hãy kết thúc quy tắc bằng ACCEPT target.
2. RULES
2.1. CÁCH VIẾT RULE
Cấu trúc:
iptables [-t <tables-name>] <command> <chain-name> <parameter-1> <option-1>
<parameter-n> <option-n>
Trong đó:
Tables-name: cho phép lựa chọn table sử dụng. Mặc định là FILTER table.
Command:
Tùy chọn Mô tả
-A Nối 1 rule vào chain
-D Xóa 1 rule ra khỏi chain
-I Chèn 1 rule vào chain
-R Thay thế rule
-L Xem các rule đã được load
-N Tạo 1 chain mới
-X Xóa 1 chain
-E Đổi tên chain
Chain-name:
Parameters:
Parameter Mô tả
s
-p Protocol (tcp, udp, icmp)
-s Source address [/mask]
2
-d Destination address [/mask]
-i Tên interface mà packet nhận vào
-o Tên interface mà packet sẽ gửi ra
-j Chuyển packet đến target khi thỏa điều kiện của rule
Target có sẵn:
– ACCEPT: iptables chấp nhận chuyển data đến đích.
– DROP: iptables khóa những packet.
– LOG: thông tin của packet sẽ gởi vào syslog
REJECT: ngăn chặn packet và gởi thông báo cho sender
DNAT: thay đổi địa chỉ đích (–to-destination)
SNAT: Thay đổi địa chỉ source (–to-source)
Options: