Báo Cáo Unix - Nhóm 10 - Firewall - Iptables

5/12/2018 Báo Cáo Unix - Nhóm 10 - Firewall - Iptables - slidepdf.com

http://slidepdf.com/reader/full/bao-cao-unix-nhom-10-firewall-iptables 1/39

Chuyên đề S1 GVHD : Nguyễn Thị Thanh Vân

Nhóm 10

MỤC LỤC

Phần I : TỔNG QUAN VỀ FIREWALL .............................................................................. 3

I. Giớ i thiệu về Firewall ...................................................................................................... 3

1. Firewall là gì? ....................................................................................................................................... 3

2. Các loại Firewall: .................................................................................................................................. 3

3. Cấu trúc Firewall : ................................................................................................................................ 4

4. Chức năng của Firewall ........................................................................................................................ 7

II. Nguyên lý hoạt động ........................................................................................................ 8

III. Ưu điểm của Firewall ....................................................................................................... 8

IV.

Nhược điểm ...................................................................................................................... 8

V. Một số sản phẩm của Firewall ......................................................................................... 9

Phần II: IPTABLES ................................................................................................................ 9

I. Giớ i thiệu về Iptables ....................................................................................................... 9

II. Cài đặt Iptables ................................................................................................................ 10

III. Cơ chế xử lý package trong Iptables ............................................................................. 13

1. Mangle table: ...................................................................................................................................... 13

2. Filter queue: ........................................................................................................................................ 13

3. NAT queue: ......................................................................................................................................... 13IV. Target và Jumps ............................................................................................................. 14

1. Jupms: ................................................................................................................................................. 14

2. Target: ................................................................................................................................................. 14

V. Một số lệnh trong Iptables.............................................................................................. 15

1. Một số lệnh thươ ng dùng: ................................................................................................................... 15

2. Những giao thức thườ ng dùng ............................................................................................................ 16

3. Những điều kiện mở rộng thườ ng dùng .............................................................................................. 16

4. Một số ví dụ: ....................................................................................................................................... 17

VI. Iptables script ................................................................................................................. 18

1. Lưu Iptables script: ............................................................................................................................. 18

2. Sao lưu và phục hồi script ................................................................................................................... 18

Phần III : Cấu hình một số chức năng của IPTABLES .................................................... 19

I. Mô hình mạng ................................................................................................................ 19

II. Cài đặt cơ bản Iptables ................................................................................................... 20




Nhóm 10

1. Kiểm tra dịch vụ Iptables cài đặt chưa ................................................................................................ 20

2. Khởi động Iptables .............................................................................................................................. 20

3. Xem trạng thái của Iptables ................................................................................................................ 21

4. Xem file cấu hình Iptables .................................................................................................................. 22

5. Lưu Iptables ........................................................................................................................................ 23

6. Cho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động: .................................................. 23

III. Cấu hình Filter ................................................................................................................ 23

1. Ping ..................................................................................................................................................... 23

2. SSH : Port 22 ...................................................................................................................................... 26

3. Telnet : Port 23 .................................................................................................................................... 28

4. HTTP : Port 80 .................................................................................................................................... 30

IV. Cấu hình Nat .................................................................................................................. 33

1. Nat In .................................................................................................................................................. 33

2. Nat Out ................................................................................................................................................ 37




Nhóm 10

Phần I : TỔNG QUAN VỀ FIREWALL

I. Giớ i thiệu về Firewall

1. Firewall là gì?

- Thuật ngữ Firewall có nguồn gốc từ một k ỹ thuật đượ c thiết k ế trong xây dựng để

ngăn chặn, hạn chế hỏa hoạn.

- Firewall là một k ỹ thuật đượ c tích hợ p vào hệ thống để chống lại các truy cập trái

phép, nhằm bảo vệ các nguồn thôn tin nội bộ và hạn chế sự xâm nhập không mong

muốn vào hệ thống.

- Firewall đượ c miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất

cả các luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.

-

Thông thườ ng Firewall đựợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ

chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn

chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên

trong (Intranet) tớ i một số địa chỉ nhất định trên Internet.

2. Các loại Firewall:

Firewall cứ ng : Là những firewall đượ c tích hợ p trên Router.

Đặc điểm của Firewall cứng:

- Không đượ c linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc

như firewall mềm)

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng

Transport)

- Firewall cứng không thể kiểm tra đượ c nột dung của gói tin.

Ví dụ về Firewall cứng: NAT (Network Address Translate).




Nhóm 10

Firewall mềm: Là những Firewall được cài đặt trên Server.

Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớ t các quy tắc, các chức năng.

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

- Firewal mềm có thể kiểm tra đượ c nội dung của gói tin (thông qua các từ khóa).

Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…

3. Cấu trúc Firewall :

Bao gồm 1 hoặc nhiều các thành phần sau

Bộ lọc packet (packet- filtering router).

Nguyên lý hoạt động :

- Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận đượ c. Nó kiểm tra toàn

bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật

lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở

đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng.)

- Nếu luật lệ lọc packet đượ c thoả mãn thì packet đượ c chuyển qua firewall. Nếu

không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản đượ c các k ết nối vào

các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống

mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm

cho Firewall có khả năng chỉ cho phép một số loại k ết nối nhất định vào các loại máy

chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) đượ c phép mớ i

chạy đượ c trên hệ thống mạng cục bộ.

Ưu điểm

- Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm

của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã đượ c bao

gồm trong mỗi phần mềm router.

- Ngoài ra, bộ lọc packet là trong suốt đối với ngườ i sử dụng và các ứng dụng, vì vậy

nó không yêu cầu sự huấn luyện đặc biệt nào cả.




Nhóm 10

Hạn chế

- Việc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi ngườ i

quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header,

và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớ n, các

luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.

- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm

soát đượ c nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo

những hành động với ý đồ ăn cắp thông tin hay phá hoại của k ẻ xấu.

Cổng ứ ng dụng (Application-level gateway hay proxy server)

Nguyên lý:- Đây là một loại Firewall đượ c thiết k ế để tăng cườ ng chức năng kiểm soát các loại

dịch vụ, giao thức đượ c cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của

nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài

đặt trên gateway cho từng ứng dụng. Nếu ngườ i quản trị mạng không cài đặt proxy

code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không đượ c cung cấp và do đó

không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu

hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngườ i quản trị mạng cho là

chấp nhận đượ c trong khi từ chối những đặc điểm khác.

- Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bở i vì nó

đượ c thiết k ế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm

bảo an ninh của một bastion host là:

- Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ

thống (Operating system). Các version an toàn này đượ c thiết k ế chuyên cho mục

đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợ p

firewall. Chỉ những dịch vụ mà ngườ i quản trị mạng cho là cần thiết mới được cài đặt

trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể

bị tấn công. Thông thườ ng, chỉ một số giớ i hạn các ứng dụng cho các dịch vụ Telnet,




Nhóm 10

DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. Bastion host có

thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart

card. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ

nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ

đúng vớ i một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một quyển nhật ký

ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự k ết nối, khoảng thờ i gian

k ết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn k ẻ phá hoại.

Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ

dàng quá trình cài đặt một proxy mớ i, hay tháo gỡ môt proxy đang có vấn để.

Ưu điểm:

Cho phép ngườ i quản trị mạng hoàn toàn điều khiển đượ c từng dịch vụ trên mạng,bở i vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy

nhập đượ c bở i các dịch vụ. Cho phép ngườ i quản trị mạng hoàn toàn điều khiển đượ c

những dịch vụ nào cho phép, bở i vì sự vắng mặt của các proxy cho các dịch vụ tương

ứng có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác

thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ lọc

filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so vớ i bộ lọc

packet.

Hạn chế:

Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy

client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng

ứng dụng đòi hỏi hai bước để nối vớ i máy chủ chứ không phải là một bướ c thôi. Tuy

nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là

trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng

trên lệnh Telnet.




Nhóm 10

Cổng mạch (Circuite level gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện đượ c bở i một cổng ứng

dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các k ết nối TCP mà không thực

hiện bất k ỳ một hành động xử lý hay lọc packet nào.

Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng

vòng đơn giản chuyển tiếp k ết nối telnet qua firewall mà không thực hiện một sự kiểm

tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợ i

dây,sao chép các byte giữa k ết nối bên trong (inside connection) và các k ết nối bên

ngoài (outside connection). Tuy nhiên, vì sự k ết nối này xuất hiện từ hệ thống

firewall, nó che dấu thông tin về mạng nội bộ. Cổng vòng thường đượ c sử dụng cho những k ết nối ra ngoài, nơi mà các quản trị

mạng thật sự tin tưở ng những người dùng bên trong. Ưu điểm lớ n nhất là một bastion

host có thể đượ c cấu hình như là một hỗn hợ p cung cấp Cổng ứng dụng cho những k ết

nối đến, và cổng vòng cho các k ết nối đi. Điều này làm cho hệ thống bức tườ ng lửa dễ

dàng sử dụng cho những ngườ i trong mạng nội bộ muốn trực tiếp truy nhập tớ i các

dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tườ ng lửa để bảo vệ mạng nội

bộ từ những sự tấn công bên ngoài.

4. Chức năng của Firewall

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và

Internet.

+ Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.

+ Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.

+ Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

+ Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

+ Kiểm soát ngườ i sử dụng và việc truy cập của ngườ i sử dụng.




Nhóm 10

II. Nguyên lý hoạt động

- Firewall hoạt động chặt chẽ vớ i giao thức TCP/IP, vì giao thức này làm việc theo

thuật tóan chia nhỏ các dữ liệu nhận đượ c từ các ứng dụng trên mạng. Vì vây,

Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

- Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận đượ c.

- Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng

để cho phép truyền các packet đó ở trên mạng.

- Nếu packet thỏa các luật lệ đã đượ c thiết lập trướ c của Firewall thì packet đó đượ c

chuyển qua, nếu không thỏa thì sẽ bị loại bỏ.

- Chú ý: Việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm soát

đượ c nội dụng thông tin của packet. Cho nên, các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của k ẻ xấu.

III. Ưu điểm của Firewall

- Giớ i hạn đượ c số lượ ng k ết nối, giúp cho ta chống được các cơ chế tấn công

- Đa số các hệ thống firewall đều sử dụng bộ lọc packet nên ưu điểm của nó là :

+ Chi phí thấp vì cơ chế lọc packet đã đượ c bao gồm trong mỗi phần mềm router.

+ Cài đặt dễ và đơn giản

+ Có thể cảnh báo trướ c các cuộc tấn công (vd : phát hiện quét cổng)

IV. Nhược điểm

- Đòi hỏi ngườ i quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các

dạng packet header

- Khi lọc càng lớ n, các luật về lọc càng trở nên dài và phức tạp, rất khó để quản lý và

điều khiển.

- Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đượ c chuyển qua nó,

sự xuất hiện liên tục của các virus mớ i và do có rất nhiều cách để mã hóa dữ liệu,

thoát khỏi khả năng kiểm soát của firewall

- Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong

muốn nhưng phải xác định rõ các thông số địa chỉ.




Nhóm 10

- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi

qua” nó.

- Ví dụ :

+ Sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm , USB , CD

+ Firewall cũng k hông thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent

attack).

+ Và điển hình là các virus máy tính

V. Một số sản phẩm của Firewall

- Một số sản phẩm về lọc packet trong Linux:

+ Iptables

+ Ipchains

+ SmoothWall

Chúng ta nên dùng iptables. Ipchains đã lỗi thờ i.

Phần II: IPTABLES

I. Giớ i thiệu về Iptables- Iptables do Netfilter Organiztion viết ra để tăng tính năng bảo mật trên hệ thống

Linux.

- Iptables cung cấp các tính năng sau:

+ Tích hợ p tốt vớ i kernel của Linux.

+ Có khả năng phân tích package hiệu quả.

+ Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header

+ Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống

+ Cung cấp k ỹ thuật NAT

+ Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS (Denial of

Service attack)




Nhóm 10

II. Cài đặt Iptables

- Thông thường thì iptables được cài đặt mặc định trong hệ thống Linux, gói tin của

iptables trong Linux là iptables-version.rpm (vớ i version là phiên bản iptables cần cài

đặt)

Cài đặt dịch vụ iptables:

# rpm – ivh iptables-version.rpm.

Khởi động iptables:

# service iptables start.

Cho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động:

# chkconfig iptables on. Tái khởi động:

# service iptables restart.

Tắt iptables:

# service iptables stop.

Xác định trạng thái của iptables:

# service iptables status

Lưu Iptables :# service iptables save

Mở file cấu hình Iptables:

# vi /etc/sysconfig/iptables

Sửa file cấu hình Iptables:

# gedit /etc/sysconfig/iptables




Nhóm 10

- Màn hình sau khi mở file cấu hình Iptables

- Dùng giao diện để cấu hình Firewall

+ Gõ setup, chọn Firewall configuration




Nhóm 10

+ Chọn Enabled cho dòng Security level chọn Custumize

+ Đánh dấu vào các dịch vụ muốn cho qua Firewall. Ví dụ như SSH, Telnet,

HTTP…




Nhóm 10

III. Cơ chế xử lý package trong Iptables

- Iptables sẽ kiểm tra tất cả các package khi nó đi qua iptables host, quá trình kiểm tra

này đượ c thực hiện một cách tuần tự entry đầu tiên đến entry cuối cùng.

- Có ba loại bảng trong iptables:

Mangle table.

Filter queue.

NAT queue.

1. Mangle table:

Chịu trách nhiệm thay đổi các bits chất lượ ng dịch vụ trong TCP header như TOS ,

TTL, MARK. Thông thườ ng loại table này đượ c ứng dụng trong mạng SOHO (Small

Office and Home Office).

+ PREROUTING

+ POSTROUTING

+ OUTPUT

+ INPUT

+ FORWARD

2. Filter queue:

Chịu trách nhiệm thiết lập bộ lọc packet (packet filtering). Có ba loại built-in chain

đượ c mô tả để thực hiện các chính sách về firewall ( firewall policy rules)

+ Forward chain: Lọc gói tin đi qua firewall.

+ Input chain: Lọc gói tin đi vào firewall.

+ Output chain: Lọc gói tin đi ra firewall.

3. NAT queue:

Thực thi chức năng NAT (Network Address Translation), cung cấp hai loại built-in

chains sau đây:

+ Pre-routing chain: NAT từ ngoài vào trong nội bộ. Quá trình NAT sẽ thực hiện

trướ c khi thực thi cơ chế routing. Điều này thuận lợ i cho việc đổi địa chỉ đích để




Nhóm 10

địa chỉ tương thích vớ i bảng định tuyến của firewall, khi cấu hình ta có thể dùng

khóa DNAT để mô tả k ỹ thuật này.

+ Post-routing chain: NAT từ trong ra ngoài. Quá trình NAT sẽ thực hiện sau khi

thực hiện cơ chế định tuyến. Quá trình này nhằm thay đổi địa chỉ nguồn của gói

tin. Kỹ thuật này đượ c gọi là NAT one-to-one hoặc many-to-one, đượ c gọi là

Source NAT hay SNAT.

IV. Target và Jumps

1. Jupms:

Là cơ chế chuyển một packet đến một target nào đó để xử lý thêm một số thao tác

khác.

2. Target:

Là cơ chế hoạt động trong iptables, dùng để nhận diện và kiểm tra packet. Các target

đượ c xây dựng sẵn trong iptables như: ACCEPT, DROP, LOG, REJECT, DNAT,

SNAT, MASQUERADE.

+ ACCEPT: iptables chấp nhận chuyển data đến đích.

+ DROP: iptables khóa những packet.

+ LOG: thông tin của packet sẽ gở i vào syslog daemon iptables tiếp tục xử lý luật

tiếp theo trong bảng mô tả luật. Nếu luật cuối cùng không match thì sẽ drop

packet. Vớ i tùy chọn thông dụng là --log-prefix=”string”, tức iptables sẽ ghi

nhận lại những message bắt đầu bằng chuỗi “string”.

+ REJECT: ngăn chặn packet và gở i thông báo cho sender. Vớ i tùy chọn thông

dụng là --reject-with qualifier, tức qualifier chỉ định loại reject message sẽ đượ c

gở i lại cho ngườ i gở i.

+ DNAT: thay đổi địa chỉ đích của packet. Tùy chọn là --to-destination ipaddress.

+ SNAT: thay đổi địa chỉ nguồn của packet. Tùy chọn là --to-source

<address>[-address][:<port>-<port>]




Nhóm 10

+ MASQUERADING: đượ c sử dụng để thực hiện k ỹ thuật NAT (giả mạo địa chỉ

nguồn với địa chỉ của interface của firewall). Tùy chọn là [--to-ports <port>[-

<port>]], chỉ định dãy port nguồn sẽ ánh xạ với dãy port ban đầu.

V. Một số lệnh trong Iptables

1. Một số lệnh thương dùng:

# iptables [tham số chuyển mạch] . . .

-t <table> : Chỉ định bảng cho iptables bao gồm: filter, nat, mangle tables.

-j <target> : Nhảy đế n một target chain khi packet thỏa luật hiện t ại.

-A : Thêm luật vào cuố i iptables chain.

Ví dụ:

+ # iptables -A INPUT -j ACCEPT : chấp nhận tất cả các gói tin gửi đến cho

Firewall.

+ # iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE :

một rule trong bảng nat.

-P <chain-name> : Thay đổ i chính sách của chain

-F <chain-name> : Xóa t ấ t cả các luật trong chain lự a chọn.

-N <chain-name> : T ạo chain mớ i. -X <chain-name> : Xóa chain t ự t ạo

Ví dụ:

+ # iptables -P INPUT DROP : Đặt chính sách cho chain INPUT là DROP. Khi một

gói tin vào mà không thỏa bấ t k ỳ rule nào của chain thì nó sẽ xử lý gói tin theo

chính sách.

+ # iptables -F INPUT : xóa t ấ t cả luật của chain INPUT.

+ # iptables -F OUTPUT : xóa t ấ t cả luật của chain OUTPUT.

+ # iptables -F : xóa t ấ t cả các luật của t ấ t cả các chain.

+ # iptables -N ChainMoi

+ # iptables -X ChainMoi

Lưu ý : không thể xóa nhữ ng built-in chain




Nhóm 10

-p <protocol-type> : Mô tả các giao thứ c bao gồ m: icmp, tcp, udp và all

-s <ip-address> : Chỉ định đị a chỉ nguồ n

-d <ip-address> : Chỉ định đị a chỉ đ ích

-i <interface-name> : Chỉ định “input” interface nhậ n packet

-o <interface-name> : Chỉ định “output” interface chuyể n

packet ra ngoài

2. Nhữ ng giao thức thườ ng dùng

-p tcp --sport <port> : TCP port nguồn (source port ). Có thể là một giá trị hoặc

một dãy có dạng: start-port:end-port.

-p tcp --dport <port> : TCP port đích

-p tcp --syn : Dùng để nhận dạng một yêu cầu k ết nối TCP mớ i

-p udp --sport <port> : UDP port nguồn

-p udp --dport <port>: UDP port đích

-p icmp --icmp-type <type>: ICMP-Type thườ ng dùng nhất là echo-reply và

echo-request.

Ví dụ :

# iptables -A FORWARD -s 0/0 -i eth0 -o eth1 -d 172.16.0.2 -p tcp --sport

1024:65535 --dport 80 -j ACCEPT

Firewall chấp nhận các gói dữ liệu có giao tiếp (protocols) là TCP , đến từ card

mạng eth0 , có địa chỉ IP nguồn là bất k ỳ , đi đến địa chỉ 172.16.0.2 qua card mạng

eth1. Số port nguồn là từ 1024 đến 65535 và port đích là 80 (www/http).

3. Những điều kiện mở rộng thườ ng dùng

-m multiport --sport <port, port>: Nhiều port nguồn khác nhau của TCP/UDP

đượ c phân cách bở i dấu phẩy (,). Đây là liệt kê các port chứ không phải là một

dãy liên tục các port.

-m multiport --dport <port, port>: TCP/UDP port đích.

-m multiport --ports <port, port> : Không phân biệt port đích hay port nguồn.




Nhóm 10

-m state --state <state> : Các trạng thái <state> thông dụng là: ESTABLISHED

, NEW , RELATED , INVALID .

Trạng thái của gói dữ liệu:

+ ESTABLISHED : Gói dữ liệu là một phần của k ết nối đã đượ c thiết lập

bở i cả hai hướ ng.

+ NEW : Gói dữ liệu là bắt đầu của một k ết nối mớ i.

+ RELATED : Gói dữ liệu là bắt đầu một k ết nối phụ. Thông thường đây là

đặc điểm của giao thức FTP hoặc lỗi ICPM.

+ INVALID : Gói dữ liệu không thể nhận dạng đượ c.

-m limit --limit 1/s: Chỉ định số lượ ng phù hợ p cho một đơn vị thờ i gian theo

dạng(/second, /minute, /hour, /day)

4. Một số ví dụ:

Ví dụ 1: FireWall chấp nhận cho bất kỳ TCP packet đi vào interface eth0 đến

địa chỉ 172.28.24.199

# iptables -A INPUT -s 0/0 -i eth0 -d 172.28.24.199 -p tcp -j ACCEPT

Ví dụ 2: FireWall cho phép gở i icmp echo-request và icmp echo-reply

# iptables -A OUPUT -p icmp --icmp-type echo-request -j ACCEPT

# iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

Ví dụ 3: Cho phép truy xuất DNS đến FireWall

# iptables -A OUTPUT -p udp -o eth0 --dport 53 – sport 1024:65535 -j

ACCEPT

# iptables -A INPUT -p udp -i eth0 --dport 53 – sport 1024:65535 -j ACCEPT

Ví dụ 4: Cho phép WWW và ssh truy xuất tớ i FireWall

# iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED, RELATED -j

ACCEPT

# iptables -A INPUT -p tcp -i eth0 --dprt 22 --sport 1024:65535 -m state \ --

state NEW -j ACCEPT

# iptables -A INPUT -p tcp -i eth0 --dport 80 --sport 1024:65535 -m state \ --

state NEW -j ACCEPT




Nhóm 10

VI. Iptables script

1. Lưu Iptables script:

- Lệnh service iptables save để lưu lại các rule vào file # /etc/sysconfig/iptables.

- Khi ta khởi động lại thì chương tr ình iptables-restore sẽ đọc lại file script này và

kích hoạt lại thông tin cấu hình.

2. Sao lưu và phục hồi script

- Để có thể phục hồi script khi mất script file. Đầu tiên, ta phải lưu script lại dùng

lệnh:

# iptables-save > script_du_phong

- Khi cần phục hồi ta nạp lại iptables thông qua lệnh iptables-restore

# iptables-restore < script_du_phong

- Cuối cùng, ta dùng lệnh để lưu trữ lại các luật vào file cấu hình:

# service iptables save




Nhóm 10

Phần III : Cấu hình một số chức năng của

IPTABLES

I. Mô hình mạng

Cài đặt :

Máy Client có một card mạng để ở chế độ Host vớ i IP 10.0.0.4

Máy Web-Mail có một card mạng để ở chế độ Host vớ i IP 10.0.0.2

Máy Firewall có 2 card mạng 1 ở chế độ host với địa chỉ IP 10.0.0.1 , một card mạng

ra ngoài Internet vớ i IP 192.168.0.1

Máy ngoài Internet có 1 card mạng vớ i IP 192.168.0.2

Yêu cầu :

Các máy Client , Web-Mail , Firewall ping thấy nhau

Máy ở ngoài Internet ping thấy máy Firewall và ngượ c lại




Nhóm 10

II. Cài đặt cơ bản Iptables

1. Kiểm tra dịch vụ Iptables cài đặt chưa

Dùng lệnh : # rpm – qa iptables

2. Khởi động Iptables

Dùng lênh : # service iptables start




Nhóm 10

3. Xem trạng thái của Iptables

Dùng lệnh: # service iptables status




Nhóm 10

4. Xem file cấu hình Iptables

Dùng lệnh : # iptables – L

Dùng lệnh # vi /etc/sysconfig/iptables




Nhóm 10

5. Lưu Iptables

Dùng lệnh : # service iptables save

6. Cho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động:

# chkconfig iptables on

III. Cấu hình Filter

1. Ping

Mô tả : mặc định thì các máy trong hệ thống có cùng dãy mạng sẽ ping thấy nhau

, giờ chúng ta sẽ chặn không cho các máy này ping thấy nhau

Từ máy Firewall , ta mở file cấu hình Iptables lên bằng lệnh





Nhóm 10

Ở dòng 13 là Rule cho phép ping , chúng ta muốn chặn ping thì thêm #

trướ c Rule này , hoặc đổi ACCPECT thành DROP




Nhóm 10

Hoặc là Drop

Sau đó Lưu rule vừa chỉnh sửa lại và restart iptables bằng lệnh

# service iptables restart




Nhóm 10

2. SSH : Port 22

Mô tả : Iptables của máy Firewall cho phép hoặc chặn không cho các máy

trong mạng Lan SSH tớ i máy Firewall

Trong phần cài đặt ta cho phép dịch vụ SSH đượ c thông qua

Sau đó ta mở file cấu hình iptables bằng lệnh


Ở dòng 21 là Rule cho phép dịch vụ telnet thông qua




Nhóm 10

Chặn dịch vụ SSH bằng cách thêm # vào dòng 21




Nhóm 10

Sau đó lưu rule vừa chỉnh sửa lại và restart iptables bằng lệnh


3. Telnet : Port 23

Mô tả : Iptables của máy Firewall cho phép hoặc chặn không cho các máy

trong mạng Lan telnet tớ i máy Firewall

Trong phần cài đặt ta cho phép dịch vụ telnet đượ c thông qua




Nhóm 10

Sau đó ta mở file cấu hình iptables bằng lệnh # vi /etc/sysconfig/iptables

Ở dòng 21 là Rule cho phép dịch vụ telnet thông qua

Chặn dịch vụ telnet bằng cách thêm # vào dòng 21




Nhóm 10



4. HTTP : Port 80

Mô tả : các máy trong mạng Lan có thể k ết nối được Internet và vào đượ c các

trang web thông qua các trình duyệt , nói cách khác đi qua port 80 : HTTP và

HTTPS port 443 trên iptables ta cho phép hoặc chặn các máy trong mạng Lan

sử dụng web

Trong phần cài đặt ta cho phép dịch vụ HTTP hoặc là HTTPS đượ c thông qua




Nhóm 10

Sau đó ta mở file cấu hình iptables bằng lệnh # vi /etc/sysconfig/iptables

Ở dòng 21,22 là Rule cho phép dịch vụ HTTP,HTTPS thông qua




Nhóm 10

Chặn dịch vụ HTTP và HTTPS bằng cách thêm # vào dòng 21, 22



Tương tự cho các dịch vụ còn lại

Chú ý :

Khi mở file cấu hình iptables bằng lệnh # vi /etc/sysconfig/iptables

Ta muốn sử a cấu hình thì ta nhấn chữ “a” và lưu lại “:x” .




Nhóm 10

Ta có thể mở cấu hình iptables bằng lệnh # gedit /etc/sysconfig/iptables

và ta có thể sửa và lưu trự c tiếp trên file cấu hình

Sau khi thay đổi Rule bất kì , ta phải lưu lại và restart lai iptables thì

Rule đó mới đượ c thự c thi

IV. Cấu hình Nat

1. Nat In

Mô tả : Các máy ngoài Internet , muốn truy cập vào Web-Mail server của

mạng Lan , thì ta phải dùng kĩ thuật Nat In

Ở máy Firewall vào setup ta cho phép các các d ịch vụ đượ c thông qua các

card mạng Ở Trusted Devices ta đánh dấu vào các card mạng




Nhóm 10

Thực hiện switching ( định tuyến) giữa các card mạng

Nhập dòng lệnh Nat In

Lưu file cấu hình iptables lại bằng lệnh


Khởi động lại dịch vụ dùng lệnh





Nhóm 10



Mở lại file cấu hình iptables xem Nat In đã đượ c thực hiện chưa




Nhóm 10

Sau đó từ 1 máy ở ngoài Internet bất kì có thể sử dụng Web của hệ thống mình




Nhóm 10

2. Nat Out

Mô tả : Cho phép các máy trong mạng Lan k ết nối đượ c ra ngoài Internet

Ở máy Firewall vào setup ta cho phép các các dịch vụ đượ c thông qua các card

mạng

Ở Trusted Devices ta đánh dấu vào các card mạng

Thực hiện switching ( định tuyến) giữa các card mạng




Nhóm 10

Nhập dòng lệnh Nat Out

Lưu file cấu hình iptables lại bằng lệnh


Khởi động lại dịch vụ dùng lệnh





Nhóm 10



Mở lại file cấu hình iptables xem Nat Out đã đượ c thực hiện chưa

Sau đó từ 1 máy ở mạng Lan bất kì có thể k ết nối vớ i internet

Báo Cáo Unix - Nhóm 10 - Firewall - Iptables

Documents

Transcript of Báo Cáo Unix - Nhóm 10 - Firewall - Iptables