Cài đặt và sử dụng Iptable

Bảo mật là một vấn đề quan trọng hàng đầu với các hệ thống của cáccông ty, doanh nghiệp, các hệ thống cung cấp dịch vụ như web server, mailserver, ftp server, cũng như nhiều dịch vụ khác trên mạng. Một trong nhữngcách bảo vệ là sử dụng firewall. Báo cáo này trình bày cách chuyển mộtLinux server thành :
Nội dung trích xuất từ tài liệu:
Cài đặt và sử dụng Iptable LỜI MỞ ĐẦU I. Giới thiệu về Iptables Bảo mật là một vấn đề quan trọng hàng đầu với các hệ thống của cáccông ty, doanh nghiệp, các hệ thống cung cấp dịch vụ như web server, mailserver, ftp server, cũng như nhiều dịch vụ khác trên mạng. Một trong nhữngcách bảo vệ là sử dụng firewall. Báo cáo này trình bày cách chuy ển mộtLinux server thành : - Một firewall đồng thời cho mail server, web server, DNS server. - Một thiết bị dẫn đường (router) sẽ dùng NAT và chuyển tiếpcổng( port forwarding) để vừa bảo vệ hệ thống mạng của bạn, vừa cho phép1 web server công khai chia sẻ địa chỉ firewall . Một trong những firewall thông dụng nhất chạy trên linux là Iptables. Tasẽ xem qua một số chức năng của Iptables : - Tích hợp tốt với linux kernel, để cải thiện sự tin cậy và tốc độ ch ạyiptables . - Quan sát kỹ các gói dữ liệu. Điều này cho phép firewall theo dõi mỗimột kết nối thông qua nó, và dĩ nhiên là xem xét nội dung của t ừng lu ồng d ữliệu để từ đó tiên liệu hành động kế tiếp của giao thức. Điều này rất quantrọng trong việc hổ trợ các giao thức FTP, DNS…. - Lọc gói dựa trên địa chỉ MAC và các cờ trong TCP header. Giúp ngănchặn việc tấn công bằng cách xử dụng các gói dị dạng (malformed packets)và ngăn chặn việc truy cập từ nội bộ đến một mạng khác bất chấp IP của nó. - Ghi chép hệ thống (System log) cho phép việc điều chỉnh báo cáo . 1 - Hổ trợ việc tích hợp các chương trình các chương trình Web proxychẳng hạn như Squid. - Ngăn chặn các kiểu tấn công từ chối dịch vụ. II. Cài đặt và sử dụng Iptables 1. Cài đặt Iptables Iptables được cài đặt mặc định trong hệ thống Linux, package củaiptables là iptablesversion. rpm hoặc iptables-version.tgz …, ta có thể dùng lệnh để cài đặt package này: $ rpm –ivh iptables-version.rpm đối Red Hat $ apt-get install iptables đối với Debian Hình 1. Cài đặt gói Iptables - Khởi động iptables: service iptables start - Tắt iptables: service iptables stop - Tái khởi động iptables: service iptables restart - Xác định trạng thái iptables: service iptables status 2 Hình 2. Start, Restart, Stop, Status 2. Xử lý gói trong iptables Tất cả mọi gói dữ liệu đều được kiểm tra bởi iptables bằng cách dùngcác bảng tuần tự xây dựng sẳn (queues). Có 3 loại bảng này gồm: Mangle: Chịu trách nhiệm thay đổi các bít chất lượng dịch vụ trong TCPheader như TOS ( type of servie). TTL (Time to live) và MARK. Filter: Chịu trách nhiệm lọc gói dữ liệu. Nó gồm 3 quy tắc nhỏ (chain)để giúp bạn thiết lập các nguyên tắc lọc gói gồm: Forward chain: Lọc gói khi đi đến các server khác. Input chain: Lọc gói khi đi vào khỏi server Output chain: Lọc gói khi đi ra khỏi server 3 NAT: Gồm 2 loại: Pre-routing chain: Thay đổi địa chỉ đích (Destination) của gói dữ liệukhi cần thiết . Post-routing chain: Thay đổi địa chỉ nguồn (Source) của gói dữ liệu khicần thiết . Bảng 1: Các loại queues và chain cùng chức năng của nó. Loại Chức năng Quy tắc xử lý Chức năng của chain queues queues gói(Chain) Lọc gói Lọc gói dữ liệu đi đến các Filter FORWARD server khác kết nối trên các NIC khác của firewall Lọc gói đi đến firrewall INPUT Lọc gói đi ra khỏi firewall OUTPUT Việc thay đổi địa chỉ diễn ra NAT Network PREROUTING trước khi dẫn đường. Thay Address đổi địa chỉ đích sẽ giúp gói dữ Translation liệu phù hợp với bảng chỉ đường của firewall. Xử dụng (Biên dịch địa Destination NAT or DNAT chỉ mạng) Việc thay đổi địa chỉ diễn ra POSTROUTING sau khi dẫn đường. Xử dụng Source NAT or SNAT ...