Security VPS

Hướng dẫn IPtables – bảo mật Ubuntu VPS với Linux Firewall

hướng dẫn iptables

Giới thiệu

Iptables Linux firewall được sử dụng để theo dõi lưu lượng truy cập đến và đi ở một máy chủ và lọc nó dựa trên các rules do người dùng định nghĩa trước đó để ngăn chặn bất cứ ai truy cập vào hệ thống. Sử dụng Iptables, bạn có thể định nghĩa các rules chỉ cho phép lưu lượng được chọn lọc trên máy chủ của bạn. Trong bài hướng dẫn này, bạn sẽ học được cách làm thế nào để bảo vệ ứng dụng web bằng cách sử dụng Iptables.

Lưu ý: Đối với người dùng RHEL/CentOS, có một dịch vụ tên là firewallD đã được cài đặt sẵn trên các hệ điều hành này. Nếu bạn muốn sử dụng Iptable, bạn phải vô hiệu hóa nó trước.

Bạn cần gì?

Trước khi bắt đầu thực hiện bài hướng dẫn này, bạn cần những điều sau:

Khái niệm cơ bản về Iptables

Tất cả các dữ liệu được gửi đi trong các gói tin được định dạng qua internet. Linux kernel cung cấp một giao diện để lọc cả các gói tin đi vào và ra sử dụng một bảng các bộ lọc gói tin. Iptables là một ứng dụng dòng lệnh và là một bức tường lửa Linux mà bạn có thể sử dụng để thiết lập, duy trì và kiểm tra các bảng này. Bạn có thể thiết lập nhiều bảng khác nhau, mỗi bảng có thể chứa nhiều chuỗi, mỗi một chuỗi là một bộ quy tắc. Mỗi quy tắc định nghĩa phải làm gì với gói tin nếu nó phù hợp với gói đó. Khi một gói tin được xác định, nó sẽ đưa ra một TARGET. Một target (mục tiêu) có thể là một chuỗi khác để khớp với một trong các giá trị đặc biệt sau đây:

  • ACCEPT: gói tin sẽ được phép đi qua.
  • DROP: gói tin sẽ không được phép đi qua.
  • RETURN: bỏ qua chuỗi hiện tại và quay trở lại quy tắc tiếp theo từ chuỗi mà nó được gọi.

Trong phạm vi của bài hướng dẫn iptables này, chúng ta sẽ làm việc với một trong những bảng mặc định được gọi là bộ lọc. Bảng bộ lọc có ba chuỗi bộ quy tắc.

  • INPUT – được sử dụng để điều khiển các gói tin đến tới máy chủ. Bạn có thể chặn hoặc cho phép kết nối dựa trên cổng, giao thức hoặc địa chỉ IP nguồn.
  • FORWARD – được sử dụng để lọc các gói dữ liệu đến máy chủ nhưng sẽ được chuyển tiếp ở một nơi khác.
  • OUTPUT – được sử dụng để lọc các gói tin đi ra từ máy chủ của bạn.
    Hướng dẫn iptables - filter table

Bước 1: Cài đặt Iptables Linux Firewall

1. Cài đặt Iptables

Iptable được cài đặt sẵn trong hầu hết các bản phân phối của Linux. Nhưng nếu nó chưa được cài đặt trên hệ thống Ubuntu/Debian, hãy sử dụng lệnh sau để cài đặt:

2. Kiểm tra trạng thái hiện tại của Iptables

Bạn có thể dùng lệnh sau để kiểm tra các cấu hình hiện tại của Iptables.

Tùy chọn -L để liệt kê tất cả các rules (qui tắc) và -v để hiện thêm các danh sach bổ trợ. Bạn hãy chú ý các ký tự viết hoa viết thường là khác nhau nhé.

Ví dụ đầu ra như sau:

Đây là kết quả của lệnh bạn vừa nhập, hiện cả ba chains được thiết lập mặc định là ACCEPT và không có rules cho bất kỳ chains nào.

Để làm cho bài hướng dẫn Iptable này thực tế hơn, chúng ta sẽ sửa đổi INPUT chain để lọc lưu lượng truy cập đến.

Bước 2: Định nghĩa các chain rules

Định nghĩa các chain rules là thực hiện thêm nó vào danh sách chain hiện tại. Đây là lệnh Iptables được định dạng với các tùy chọn thông thường, chúng tôi sẽ không nêu rõ hết tất cả các tham số.

-A: thêm chain rules

-i <interface> là giao diện mạng bạn cần thực hiện lọc các gói tin

-p <protocol> là giao thức mạng thực hiện lọc (tcp/udp)

–dport <port no.> là cổng mà bạn muốn đặt bộ lọc

Bạn có thể tìm hiểu thêm và các tùy chọn và các lệnh thực thi của iptable tại đây

1. Cho phép lưu lượng truy cập trên localhost

Cho phép giao tiếp giữa ứng dụng mà database của nó trên server như bình thường

Kết quả như sau

-A thêm rules vào chains INPUT cho phép tất cả các kết nối ở interface lo 

Cho phép truy cập trên các cổng HTTP, SSH, SSL

Cho phép tất cả các truy cập TCP trên các cổng 22 (SSH), HTTP (80), HTTPS (443)

3. Lọc các gói tin dựa trên nguồn của nó

Nếu bạn muốn cho phép hay từ chối các gói tin dựa trên một IP nguồn của nó hãy sử dụng tham số -s

Cho phép các gói tin từ IP 192.168.1.3

Từ chối các gói tin từ  IP 192.168.1.3

Nếu bạn muốn từ chối các gói tin từ một dãy IP hãy sử dụng  tham số Iprange -m với dãy IP đặt  sau –src-range

4. Chặn tất cả các truy cập khác

Lưu ý: một việc rất quan trọng là bạn cần DROP tất cả các gói tin từ các nguồn khác để tránh các truy cập trái phép từ các cổng mở trên server của bạn.

Sau khi đã thiết lập các rules, bạn có thể kiểm tra lại bằng lệnh sau

5. Xóa các rules

Nếu bạn muốn xóa tất cả các rules để tạo lại từ đầu hãy dùng lệnh

Bạn có thể xóa từng rules khác nhau dùng tham số -D nhưng trước tiên bạn cần dùng lệnh

để liệt kê các rules tương ứng với từng số

Sau đó dùng lệnh

để xóa rules số 3 ở chain INPUT

Bước 3: Lưu giữ các thay đổi

Các Iptables rules chúng ta tạo ra đều được lưu ở bộ nhớ, nếu bạn reboot máy chủ thì bạn cần thực hiện tạo lại các rules này.

Để lưu giữ vào cấu hình hệ thống, bạn dùng lệnh sau

Nếu bạn muốn tắt firewall, hãy sử dụng lệnh

 

Lời kết

Trong bài hướng dẫn về Iptables này, chúng tôi sử dụng Iptables Linux firewall để chỉ cho phép lưu lượng trên các cổng cụ thể và cũng đảm bảo rằng các rules sẽ được lưu lại sau khi khởi động máy chủ  lại. Linux firewall này sẽ chặn các gói tin không mong muốn nhưng có một điều lưu ý là Iptables chỉ có thể điều khiển lưu lượng ipv4. Nếu hộp VPS của bạn đã kích hoạt mạng ipv6, bạn phải đặt các quy tắc khác nhau cho lưu lượng truy cập đó với iptables.

Hãy gia nhập cùng hàng trăm subscriber của Hostinger trên thế giới

để nhận các bài hướng dẫn mới nhất tới email của bạn.

Please wait...

Cảm ơn đã đăng ký!

Tiết kiệm ngay thôi!

Mua hosting & tên miền miễn phí, tất cả trong một chỉ từ

VNĐ52.000
00
/th