Giới thiệu về IPTables
IPTables là gì?
IPTables là một chương trình firewall – tường lửa miễn phí được phát triển cho hệ điều hành Linux, chương trình giúp bạn có thể tạo ra những bộ quy tắc để kiểm soát quyền truy cập cũng như gia tăng tính bảo mật cho VPS/ Hosting/ Server của bạn.
Giải thích đơn giản về phương thức hoạt động: Linux kernel sẽ cung cấp các yếu tố cần thiết để có thể lọc các tập tin ra vào bằng cách sử dụng bảng với rất nhiều bộ lọc gói tin. Để có thể thiết lập, duy trì cũng như kiểm tra các bảng, bạn sẽ cần đến IPTables.
Về mặt cơ bản, bạn sẽ không có một phần mềm với giao diện đồ hoạ để thao tác, bạn sẽ sử dụng các dòng lệnh để tương tác với các packet filtering.
Các bảng trong IPTables
- FILTER: đây là bảng mặc định được sử dụng để lọc các gói và bao gồm các chuỗi như: INPUT, OUTPUT và FORWARD.
- NAT: bản có liên quan đến việc dịch địa chỉ mạng.
- MANGLE: bản được sử dụng để thay đổi các gói chuyên biệt
- RAW: dùng để cấu hình không theo dõi các kết nối
- SECURITY: thông thường, SELinux sử dụng để thiết lập chính sách bảo mật.
Target trong IPTables là gì?
Bạn có thể hiểu đơn giản: Target là một hành động sau khi các gói đáp ứng được các điều kiện của rule.
- ACCEPT: chấp nhận gói tin và gói được phép đi vào hệ thống.
- DROP: loại bỏ gói tin
- REJECT: loại bỏ gói tin và chuyển hướng xử lý đến một bảng khác.
- LOG: chấp nhận gói tin và ghi lại nhật ký.
Chains trong IPTables là gì?
Chains hay các chuỗi được tạo ra trong mỗi bảng giúp lọc các gói tin. Chúng ta có 3 dạng cơ bản như sau:
- INPUT: sử dụng để điều khiển các gói tin đến điểm đích hoặc máy chủ. Bạn có thể cho phép hoặc chặn các kết nối bằng nhiều cách như: địa chỉ IP, cổng hoặc giao thức.
- FORWARD: máy chủ sẽ trở thành trung gian để chuyển tiếp các gói đến nơi khác.
- OUTPUT: sử dụng để lọc các gói tin đi ra từ phía máy chủ của bạn.
Người dùng cũng có thể xác định các chuỗi này.
Ngoài ra, còn có 2 chuỗi như sau:
- PREROUTING: dùng để sửa đổi các gói khi chúng đến
- POSTROUTING: dùng để sửa đổi các gói khi chúng đi.
Hướng dẫn cấu hình IPTables cơ bản
Trong phần hướng dẫn này, Tino Group sẽ sử dụng VPS có hệ điều hành Ubuntu. Nếu bạn sử dụng hệ điều hành CentOS, bạn có thể tham khảo thêm tài liệu tại phần FAQs nhé!
Cài đặt IPTables trên Ubuntu và Debian
Trong hầu hết các phiên bản thương mại của Linux, IPTables sẽ được cài đặt sẵn. Tuy nhiên, nếu IPTables vẫn chưa được cài đặt trong hệ thống của bạn, bạn có thể sử dụng lệnh sau đây để cài đặt IPTables nhé!
Cài đặt IPTables trên Ubuntu
Bước 1: nhập lệnh sau để cài IPTables. Lưu ý: bạn nhập từng dòng sudo, không phải copy cùng lúc 2 dòng và dán vào SSH.
sudo apt-get updatesudo apt-get install IPTables
Bước 2: kiểm tra trạng thái của IPTables, bạn nhập dòng lệnh như sau vào:
sudo IPTables -L -v
Trong đó:
- -L : đây là lệnh dùng để liệt kê tất cả các rule – quy tắc đã được đặt.
- -v : được sử dụng để hiện thêm danh sách bổ trợ.
Lưu ý thêm: cách lệnh sẽ khác nhau khi viết hoa và viết thường. Vì vậy, khi tham khảo các tài liệu trên mạng hoặc trong bài viết này, bạn nên chú ý để tránh bị nhầm lẫn.
Cài đặt IPTables trên Debian
Bước 1: bạn sẽ cần phải tắt các tường lửa khác nếu có trong hệ thống của bạn để có thể cấu hình IPTables.
Nếu bạn sử dụng Debian, dùng lệnh như sau:
systemctl disable --now ufw
Nếu bạn sử dụng RedHat, dùng lệnh như sau:
systemctl disable --now firewalld
Bước 2: kiểm tra lại các cài đặt tường lửa hiện tại, bạn sử dụng lệnh:
IPTables -L -n -v --line-numbers
Trong đó:
- -n để kết quả OUTPUT của bạn sẽ là số, không phân giải thành tên để tăng tốc ra thông tin.
- –line-numbers: số dòng
Hướng dẫn cấu hình chi tiết IPTables trên Ubuntu
Cấu trúc câu lệnh để cấu hình chain rule
Cấu trúc cơ bản như sau:
sudo IPTables -A -i interface -p protocol (tcp/udp) -s source --dport port no. -j target
Trong đó:
- -A: được dùng để thêm chain rule
- -i: là interface bạn cần lọc các gói tin
- -p: là protocol – giao thức mạng để thực hiện lọc như TCP hoặc UDP.
Sau khi bạn gõ một câu lệnh, sau đó bạn cần gõ 2 lệnh sau để lưu và khởi động lại IPTables:
service IPTables saveservice IPTables restart
Lệnh cho phép giao tiếp trên localhost
Nếu bạn đang sử dụng localhost, bạn sẽ cần phải cho phép server có thể giao tiếp thoải mái:
sudo IPTables -A INPUT -i lo -j ACCEPT
Ví dụ, bạn có thể chặn các gói bằng các cổng giao tiếp như sau:
Cho phép cổng HTTP:
sudo IPTables -A INPUT -p tcp --dport 80 -j ACCEPT
Cho phép cổng SSH:
sudo IPTables -A INPUT -p tcp --dport 22 -j ACCEPT
Cho phép cổng HTTPS:
sudo IPTables -A INPUT -p tcp --dport 443 -j ACCEPT
Lệnh chặn toàn bộ truy cập
Nếu bạn chỉ cho phép một số cổng, phương thức hoặc địa chỉ IP nhất định và bạn muốn chặn tất cả những truy cập khác, bạn thực hiện lệnh:
sudo IPTables -A INPUT -j DROP
Lệnh để xóa chain rule
Trong trường hợp bạn muốn thay đổi các rule bằng cách xóa, bạn thực hiện như sau:
Cách xóa từng rule, bạn sử dụng lệnh:
Bước 1: hiện các rule đang có:
sudo IPTables -L --line-numbers
Bước 2: bạn sử dụng lệnh như sau để xóa rule:
sudo IPTables -D INPUT --line-numbers bạn muốn xóa.
Lệnh tắt tường lửa
Để tắt tường lửa, bạn sử dụng lệnh như sau:
Bước 1: lệnh tắt tường lửa:
sudo IPTables -F
Bước 2: lệnh để lưu lại thay đổi:
sudo /sbin/IPTables-save