ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO ĐỒ ÁN THỰC HÀNH MÔN HỌC

DMZ NETWORK
Môn học: Quản trị dịch vụ mạng
Lớp: 21_5

Giảng viên hướng dẫn:

Lê Hà Minh
Người thực hiện:
Phan Dương Linh – 20120319
Đặng Thiên Long – 20120322
Nguyễn Minh Trí – 20120219

2023 – TP.Hồ Chí Minh

 Quản trị dịch vụ mạng DMZ
Network

Mục lục
Mục lục...........................................................................................................................................2
Thông tin đồ án...............................................................................................................................3
Nội dung báo cáo............................................................................................................................5
1. Dịch vụ SSH.........................................................................................................................5
2. Web, Mail.............................................................................................................................6
2.1 Web................................................................................................................................6
3. Firewall & NAT....................................................................................................................7
4. Internal................................................................................................................................12
Tài liệu tham khảo........................................................................................................................24

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 2
 Quản trị dịch vụ mạng DMZ
Network

Thông tin đồ án
Giảng viên hướng dẫn:
 Lê Hà Minh
Phần mềm hỗ trợ:
 VMware Workstation Pro 17
 OpenVPN
Hệ điều hành:
 Firewall: Ubuntu 22.04
 Internal: Window Server 2012 + Window 8.1
Người thực hiện:
 Phan Dương Linh – 20120319
 Đặng Thiên Long – 20120322
 Nguyễn Minh Trí – 20120219
Phân công công việc:

Mức độ
MSSV Tên Nội dung
hoàn thành

20120319 Phan Dương Linh  Cài đặt firewall, nat. 100%

 Cài đặt dịch vụ SSH

 Cài đặt dịch vụ DNS
20120322 Đặng Thiên Long 100%
 Cài đặt dịch vụ DHCP

 Cài đặt Web server, mail

20120219 Nguyễn Minh Trí 100%
server
Đánh giá mức độ hoàn thành: 100%
Đánh giá mức độ đóng góp:
 Phan Dương Linh: 30%
 Đặng Thiên Long: 35%
 Nguyễn Minh Trí: 35%

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 3
 Quản trị dịch vụ mạng DMZ
Network
Nội dung hoàn thành:
 Đầy đủ thông tin nhóm
 Bảng phân công công việc đầy đủ, chi tiết và chính xác.
 Viết báo cáo đầy đủ và chi tiết các bước thực hiện cấu hình chương trình thực hiện các
yêu cầu đưa ra.
 Chụp hình kết quả và báo cáo nhận xét các kết quả thu được.
 Quay video demo kết quả.
 Nguồn tham khảo đầy đủ.

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 4
 Quản trị dịch vụ mạng DMZ
Network

Nội dung báo cáo

1. Dịch vụ SSH
Tất cả các server trong mô hình này nếu là Linux đều phải cài đặt dịch vụ SSH để các client ở
INTERNAL có thể truy cập và cấu hình các dịch vụ từ xa. Chỉ cho phép remote từ INTERNAL.
Không được login bằng tài khoản root thông qua SSH. Các tài khoản SSH trên DHCP, DNS
server được chứng thực bằng username & password. Các tài khoản trên các server khac được
chứng thực bằng SSH key-pair.

Cho phép chạy dịch vụ SFTP tương ứng với các tài khoản có quyền SSH.

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 5
 Quản trị dịch vụ mạng DMZ
Network
2. Web, Mail
Cả 3 dịch vụ này cài đặt chung trên một máy 10.10.X.3/24
Lưu .: Các dịch vụ này khi kiểm tra hoạt động cần phải kiểm tra truy cập từ cả 2 vùng
INTERNAL và EXTERNAL.
2.1 Web
Xay dựng một website với Wordpress (https://wordpress.org/). Ứng với dữ liệu mẫu khi cài đặt
Wordpress. Và các máy Internal có thể truy cập thông qua tên
miền www.xyz.com
• Thư mục cài đặt web sẽ là /var/www/xyz.com
• Yêu cầu cài đặt gồm có Apache, PHP và MySQL
Lưu .: Sinh viên có thể sử dụng web server Apache hoặc nginx.

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 6
 Quản trị dịch vụ mạng DMZ
Network
3. Firewall & NAT
Cài đặt Firewall (version 1.1.1):

Set up Interface:

External: bridge

DMZ: vmnet1

Internal: vmnet2

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 7
 Quản trị dịch vụ mạng DMZ
Network
Set up firewall zones:

Tạo các Protocol-Specific Chains:

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 8
 Quản trị dịch vụ mạng DMZ
Network
Cho phép ESTABLISHED, RELATED trên luồng vào là luồng ra.

Cho phép dịch vụ Mail, SSH:

SSH = 22

SMTP = 25

IMAP = 25
IMAP = 25
IMAP = 25
IMAP = 25

IMAP = 25

Firewall được giả lập là một server chạy HĐH Linux gồm 3 card mạng có IP như trên mô hình
và có cài đặt IPTables. Firewall có các chức năng sau:
Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 9
 Quản trị dịch vụ mạng DMZ
Network
 Routing
 Cho phép các máy trong INTERNAL có thể connect đến vùng DMZ.

 NAT
 Forward các HTTP traffic từ vùng EXTERNAL đi vào các server trong vùng DMZ:
chỉ định rằng tất cả các kết nối tcp đến cổng 80 phải được gửi đến cổng 8080 của máy
DMZ 10.10.72.2. Sau đó, chấp nhận kết nối đến cổng 80 từ ens37 kết nối với
External bằng IP công khai theo quy tắc thứ hai.

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 10
 Quản trị dịch vụ mạng DMZ
Network
 Forward các traffic từ INTERNAL đi ra EXTERNAL: chỉ định cho phép các traffic từ
interface ens39 của vùng Internal đến interface ens37 của vùng External.

 Firewall rules
 Các máy từ DMZ không được phép connect vào các máy trong INTERNAL.
 Các máy từ EXTERNAL không được phép connect vào các máy trong INTERNAL.

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 11
 Quản trị dịch vụ mạng DMZ
Network
4. Internal
Giá trị X = 72
 Bao gồm DHCP server, DNS server, SSH server
 Sử dụng đường mạng VMnet 2
 Cấu hình địa chỉ IP tĩnh cho server

Đặt đường mạng của máy client và server ở VMnet2

Thiết lập IP tĩnh cho client và server theo yêu cầu với IP client : 172.16.72.50
IP server : 172.16.72.2

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 12
 Quản trị dịch vụ mạng DMZ
Network

Ping hai máy qua lại và đã thông nhau

SSH SERVER

Tải gói OpenSSH trên internet rồi cài đặt cho máy server

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 13
 Quản trị dịch vụ mạng DMZ
Network

Thêm rule trong Firewall và đặt port là 22

Các tài khoản SSH trên DHCP, DNS server được chứng thực bằng username & password.

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 14
 Quản trị dịch vụ mạng DMZ
Network

Cho phép chạy dịch vụ SFTP tương ứng với các tài khoản có quyền SSH

Kiểm tra kết quả :

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 15
 Quản trị dịch vụ mạng DMZ
Network

Đã có thể SSH từ client đến server thông qua chứng thực password

DNS SERVER

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 16
 Quản trị dịch vụ mạng DMZ
Network
Trước tiên cần đặt root domain name nên sẽ cài thêm ADDS

Đặt root domain name theo yêu cầu ( Tên miền XYZ.com với XYZ là tên của các bạn sinh viên
trong nhóm ) là longlinhtri.com

Ta thấy trên bảng đã có các dịch vụ cần thiết được cài

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 17
 Quản trị dịch vụ mạng DMZ
Network

Tại Forward Lookup Zone -> nhấp chuột phải chọn New Zone…
Tiếp tục làm các bược rồi đặt zone name là tên miền theo yêu cầu longlinhtri.com

Tại Reserve Lookup Zone -> chuột phải chọn New Zone…
Điền network ID theo yêu cầu là 172.16.72.

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 18
 Quản trị dịch vụ mạng DMZ
Network

Thêm host , đặt tên là server3 , có địa chỉ IP: 10.10.72.3

Tạo alias cho các Host www.xyz.com, ftp.xyz.com, mail.xyz.com

Kiểm tra :

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 19
 Quản trị dịch vụ mạng DMZ
Network

Cấu hình DNS thành công

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 20
 Quản trị dịch vụ mạng DMZ
Network
DHCP SERVER

Đặt phạm vi IP theo yêu cầu ( Quản lý việc cấp phát IP trong phạm vi từ 172.16.X.50/24 đến
172.16.X.100/24 cho các máy trong mạng nội bộ công ty)

Đặt dãy IP chặn theo yêu cầu ( DHCP Server phải loại trừ địa chỉ IP đã được đặt cho các server
trong mạng INTERNAL )

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 21
 Quản trị dịch vụ mạng DMZ
Network

Đặt địa chỉ IP của router

Cài đặt domain tương ứng

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 22
 Quản trị dịch vụ mạng DMZ
Network

Chọn Authorize để kích hoạt DHCP

Đặt client để có thể nhận IP từ server

Kiểm tra :

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 23
 Quản trị dịch vụ mạng DMZ
Network

Dịch vụ DHCP thành công

Video demo:
https://drive.google.com/file/d/10wRUwHFaUl0rTURV8ZKhcQYvpN7mG7Iw/view?
usp=sharing

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 24
 Quản trị dịch vụ mạng DMZ
Network

Tài liệu tham khảo

[1]. Iptables là gì và cách sử dụng Iptables? Vietnix.vn
[2]. Linux iptables – Nat port forwarding using PREROUTING
[3]. IPtables là gì? Toàn tập kiến thức cần biết về IPtables
[4]. Cài đặt và cấu hình DHCP Server trên windows server 2012 - YouTube
[5]. Cấu Hình DNS trên Windows Server 2012 - YouTube
[6]. SSH02 - Cài đặt OpenSSH trên Windows và kết nối SSH đến Windows Server -
YouTube
[7].

Trường ĐH Khoa Học Tự Nhiên – ĐHQG – HCM | Khoa Công nghệ thông tin Page | 25