- Trang chủ
- ›
- Iptables được sử dụng như thế nào?
Iptables được sử dụng như thế nào?
[ Cho thuê server giá rẻ ] Iptables là một hệ thống tường lửa (Firewall) tiêu chuẩn được cấu hình, tích hợp mặc định trong hầu hết các bản phân phối của hệ điều hành Linux (CentOS, Ubuntu…). Nó hoạt động dựa trên việc phân loại và thực thi các package ra/vào theo các quy tắc được thiết lập từ trước. Tuy nhiên Iptables được sử dụng như thế nào thì không phải ai cũng biết. Vì vậy hãy theo dõi bài viết dưới đây để biết cách sử dụng Iptables.
1. Cài đặt Iptables
– Iptables thường được cài đặt mặc định trong hệ thống. Còn nếu chưa được cài đặt
CentOS: # yum install iptables
Ubuntu: # apt-get install iptables
CentOS 7 sử dụng FirewallD làm tường lửa mặc định thay vì Iptables. Vì vậy để sử dụng Iptables chúng ta sẽ thực hiện như sau thực hiện:
# systemctl mask firewalld
# systemctl enable iptables
# systemctl enable ip6tables
# systemctl stop firewalld
# systemctl start iptables
# systemctl start ip6tables
– Kiểm tra Iptables đã được cài đặt trong hệ thống:
Trên CentOS:
# rpm -q iptables
iptables-1.4.7-16.el6.x86_64
# iptables –version
iptables v1.4.7
Trên Ubuntu:
# iptables –version
iptables v1.6.0
Lưu ý: Trước khi cài đặt trên Ubuntu, bạn cần vô hiệu ufw để tránh xung đột do ufw và iptables đều là tường lửa mặc định.
# ufw disable
– Check tình trạng của Iptables, cũng như cách bật tắt services trên CentOS
# service iptables status
# service iptables start
# service iptables stop
# service iptables restart
– Khởi động Iptables cùng hệ thống
# chkconfig iptables on
Iptables trên Ubuntu là chuỗi lệnh không phải là 1 services nên bạn không thể start, stop hay restart. Có cách đơn giản để vô hiệu hóa là bạn xóa hết toàn bộ các quy tắc đã thiết lập bằng lệnh flush:
# iptables -F
2. Các nguyên tắc áp dụng trong Iptables
Để bắt đầu, bạn cần xác định các services muốn đóng/mở và các port tương ứng.
Ví dụ, với một website và mail server thông thường
- Để truy cập VPS bằng SSH, bạn cần mở port SSH – 22.
- Để truy cập website, bạn cần mở port HTTP – 80 và HTTPS – 443.
- Để gửi mail, bạn sẽ cần mở port SMTP – 22 và SMTPS – 465/587
- Để người dùng nhận được email, bạn cần mở port POP3 – 110, POP3s – 995, IMAP – 143 và IMAPs – 993
Sau khi đã xác định được các port cần mở, bạn cần thiết lập các quy tắc tường lửa tương ứng để cho phép.
Chúng ta có thể xóa toàn bộ các quy tắc firewall mặc định để bắt đầu từ đầu: # iptables -F
Một số các quy tắc của iptables
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp — anywhere anywhere
ACCEPT all — anywhere anywhere
ACCEPT tcp — anywhere anywhere tcp dpt:ssh
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
ACCEPT tcp — anywhere anywhere tcp dpt:http
ACCEPT tcp — anywhere anywhere tcp dpt:https
ACCEPT tcp — anywhere anywhere tcp dpt:smtp
ACCEPT tcp — anywhere anywhere tcp dpt:urd
ACCEPT tcp — anywhere anywhere tcp dpt:pop3
ACCEPT tcp — anywhere anywhere tcp dpt:pop3s
ACCEPT tcp — anywhere anywhere tcp dpt:imap
ACCEPT tcp — anywhere anywhere tcp dpt:imaps
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Ghi chú:
Cột 1: TARGET hành động sẽ được áp dụng cho mỗi quy tắc
- Accept: gói dữ liệu được chuyển tiếp để xử lý tại ứng dụng cuối hoặc hệ điều hành
- Drop: gói dữ liệu bị chặn, loại bỏ
- Reject: gói dữ liệu bị chặn, loại bỏ đồng thời gửi một thông báo lỗi tới người gửi
Cột 2: PROT (protocol – giao thức) quy định các giao thức sẽ được áp dụng để thực thi quy tắc, bao gồm all, TCP hay UDP. Các ứng dụng SSH, FTP, sFTP… đều sử dụng giao thức TCP.
Cột 4, 5: SOURCE và DESTINATION địa chỉ của lượt truy cập được phép áp dụng quy tắc.
3. Cách sử dụng Iptables để mở port VPS
Để mở port trong Iptables, bạn cần chèn chuỗi ACCEPT PORT. Cấu trúc lệnh để mở port xxx như sau:
# iptables -A INPUT -p tcp -m tcp –dport xxx -j ACCEPT
A là Append – chèn vào chuỗi INPUT (chèn xuống cuối)
hoặc
# iptables -I INPUT -p tcp -m tcp –dport xxx -j ACCEPT
I là Insert- chèn vào chuỗi INPUT (chèn vào dòng chỉ định rulenum)
Để tránh xung đột với rule gốc, các bạn nên chèn rule vào đầu, sử dụng -I
Mở port SSH
Để truy cập VPS qua SSH, bạn cần mở port SSH 22 có thể cho phép kết nối SSH ở bất cứ thiết bị nào, bởi bất cứ ai và bất cứ dâu.
# iptables -I INPUT -p tcp -m tcp –dport 22 -j ACCEPT
Mặc định sẽ hiển thị ssh cho cổng 22, nếu bạn đổi ssh thành cổng khác thì iptables sẽ hiển thị số cổng
ACCEPT tcp — anywhere anywhere tcp dpt:ssh
Bạn có thể chỉ cho phép kết nối VPS qua SSH duy nhất từ 1 địa chỉ IP nhất định (xác định dễ dàng bằng cách truy cập các website check ip hoặc lệnh # w)
# iptables -I INPUT -p tcp -s xxx.xxx.xxx.xxx -m tcp –dport 22 -j ACCEPT
Khi đó, trong iptables sẽ thêm rule
ACCEPT tcp — xxx.xxx.xxx.xxx anywhere tcp dpt:ssh
Mở port Web Server
Để cho phép truy cập vào webserver qua port mặc định 80 và 443:
# iptables -I INPUT -p tcp -m tcp –dport 80 -j ACCEPT
# iptables -I INPUT -p tcp -m tcp –dport 443 -j ACCEPT
Mặc định Iptables sẽ hiển thị HTTP và HTTPS
ACCEPT tcp — anywhere anywhere tcp dpt:http
ACCEPT tcp — anywhere anywhere tcp dpt:https
Mở port Mail
– Để cho phép user sử dụng SMTP servers qua port mặc định 25 và 465:
# iptables -I INPUT -p tcp -m tcp –dport 25 -j ACCEPT
# iptables -I INPUT -p tcp -m tcp –dport 465 -j ACCEPT
Mặc định Iptables sẽ hiển thị SMTP và URD
ACCEPT tcp — anywhere anywhere tcp dpt:smtp
ACCEPT tcp — anywhere anywhere tcp dpt:urd
– Để user đọc email trên server, bạn cần mở port POP3 (port mặc định 110 và 995)
# iptables -A INPUT -p tcp -m tcp –dport 110 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp –dport 995 -j ACCEPT
Iptables sẽ hiển thị POP3 và POP3S
ACCEPT tcp — anywhere anywhere tcp dpt:pop3
ACCEPT tcp — anywhere anywhere tcp dpt:pop3s
Cho phép giao thức IMAP mail protocol (port mặc định 143 và 993)
# iptables -A INPUT -p tcp -m tcp –dport 143 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp –dport 993 -j ACCEPT
Mặc định Iptables sẽ hiển thị IMAP và IMAPS
ACCEPT tcp — anywhere anywhere tcp dpt:imap
ACCEPT tcp — anywhere anywhere tcp dpt:imaps
Chặn 1 IP truy cập
# iptables -A INPUT -s IP_ADDRESS -j DROP
– Chặn 1 IP truy cập 1 port cụ thể:
#iptables -A INPUT -p tcp -s IP_ADDRESS –dport PORT -j DROP
Sau khi đã thiết lập đầy đủ, bao gồm mở các port cần thiết hay hạn chế các kết nối, bạn cần block toàn bộ các kết nối còn lại và cho phép toàn bộ các kết nối ra ngoài từ VPS
# iptables -P OUTPUT ACCEPT
# iptables -P INPUT DROP
Sau khi đã thiết lập xong hãy kiểm tra lại các quy tắc
# service iptables status
Hoặc
# iptables -L –n
Cuối cùng, bạn cần lưu lại các thiết lập tường lửa Iptables nếu không các thiết lập sẽ mất khi bạn reboot hệ thống. Tại CentOS, cấu hình được lưu tại /etc/sysconfig/iptables.
# iptables-save | sudo tee /etc/sysconfig/iptables
Hoặc
# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
Vẫn còn rất nhiều công việc có thể làm với Iptables. Để có thể tìm hiểu thêm mọi người có thể tham khảo thêm các bài viết liên quan:
- Hướng dẫn cài đặt Redis trên CentOS 7/6
- Làm sao để trỏ tên miền về VPS?
- Hướng dẫn cài đặt SQL Server trên Linux