Cấu hình Iptables
Iptables là một tường lửa yêu cầu cao về bảo mật, cho phép lọc dữ liệu từ các gói tin gửi qua Internet Linux Kernel thực hiện việc này thông qua một giao diện sử dụng bảng các bộ lọc khác nhau, giúp quản lý và bảo vệ mạng hiệu quả.
Xóa hết các rule đã có trong chain: Iptables – X
Đặt danh sách cho các chain: ‘built-in’(INPUT, OUTPUT & FORWARD): Iptables – p
Liệt kê các rule trong chain: Iptables – L
Xóa các rule trong chain: Iptables – F
Để reset bộ đếm Packet về 0 trong Iptables, bạn có thể sử dụng lệnh "iptables -Z" Việc thao tác với các rule trong Iptables yêu cầu người dùng nắm rõ các tùy chọn tương ứng Một số tùy chọn quan trọng cần nhớ giúp việc quản lý rule trở nên dễ dàng hơn.
Tùy chọn để thao tác với rules trong Iptables
Các câu lệnh cơ bản Iptables
Để làm việc với các quy tắc trong Iptables, người dùng cần sử dụng các lệnh Các lệnh trong Iptables được chia thành hai cấp độ: cơ bản và nâng cao Tuy nhiên, người dùng thường chỉ cần áp dụng linh hoạt các lệnh cơ bản để dễ dàng quản lý các quy tắc Dưới đây là những lệnh cơ bản trong Iptables, bao gồm lệnh tạo một quy tắc mới.
Ví dụ: iptables -A INPUT -i lo -j ACCEPT
Lệnh này có nghĩa là:
A nghĩa là Append A INPUT nghĩa là khai báo kiểu kết nối sẽ được áp dụng
I nghĩa là Internet I lo nghĩa là khai báo thiết bị mạng được áp dụng
J nghĩa là Jump J ACCEPT nghĩa là khai báo hành động sẽ được áp dụng cho quy tắc này.
Nếu người dùng gõ lại lệnh iptables –L –v thì sẽ thấy ngay 1 rule mới xuất hiện after-created-iptables-rule
Sau khi thêm hoặc thay đổi các quy tắc, người dùng cần lưu lại bằng lệnh và khởi động lại tường lửa để áp dụng những thay đổi Sử dụng lệnh "service iptables save" để lưu và "service iptables restart" để khởi động lại tường lửa.
Để duy trì kết nối hiện tại và ngăn chặn việc tự động bị chặn khỏi máy chủ, bạn cần thêm quy tắc vào iptables Hãy thực hiện lệnh sau: `iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT`.
Lệnh tạo một rule mới Để các cổng được phép truy cập từ bên ngoài vào qua giao thức tcp thì hãy thực hiện theo lệnh.
Lệnh thực hiện: iptables -A INPUT -p tcp –dport 22 -j ACCEPT
p tcp: Giao thức được áp dụng
Cổng 22 cho phép kết nối SSH, và để ngăn chặn tất cả các kết nối từ bên ngoài không đáp ứng các quy tắc đã định, bạn cần thực hiện thao tác tương tự như với quy tắc 5 Sử dụng lệnh `iptables -A INPUT -j DROP` để thực hiện điều này Để chèn một quy tắc mới vào một vị trí cụ thể, bạn cần thay thế tham số `-A` bằng `INSERT` trong lệnh, giúp thêm quy tắc một cách hiệu quả.
Để thêm một quy tắc mới vào IPtables, bạn có thể sử dụng lệnh: `iptables -I INPUT 2 -p tcp dport 8080 -j ACCEPT` Nếu bạn muốn xóa một quy tắc đã tạo tại vị trí 4, hãy sử dụng lệnh xóa với tham số `-D` Cấu trúc lệnh xóa quy tắc cụ thể như sau.
Để xóa toàn bộ các rule chứa hành động DROP trong Iptables một cách đơn giản, bạn chỉ cần thực hiện lệnh theo cấu trúc phù hợp để dễ dàng loại bỏ tất cả các rule này.
Tổng quan về tường lửa Pfsense
Giới thiệu về Pfsense
pfSense là một giải pháp tường lửa và router mạnh mẽ, tích hợp nhiều tính năng tương tự như các thiết bị thương mại Giao diện người dùng web (GUI) của pfSense giúp quản lý dễ dàng hơn Được xây dựng trên nền tảng FreeBSD, pfSense sử dụng giao thức Common Address Redundancy Protocol (CARP) để cung cấp khả năng dự phòng, cho phép các quản trị viên nhóm nhiều tường lửa vào một hệ thống tự động chuyển đổi dự phòng Hơn nữa, với khả năng hỗ trợ nhiều kết nối mạng diện rộng (WAN), pfSense còn có thể thực hiện cân bằng tải hiệu quả.
pfSense là một giải pháp tường lửa mạnh mẽ, tích hợp nhiều tính năng tương tự như các thiết bị thương mại, với giao diện quản lý dễ sử dụng qua Web Dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP), pfSense cung cấp khả năng dự phòng bằng cách cho phép quản trị viên nhóm nhiều tường lửa để tự động chuyển đổi trong trường hợp cần thiết Hỗ trợ nhiều kết nối mạng diện rộng (WAN), pfSense cũng cho phép thực hiện cân bằng tải hiệu quả Đặc biệt, việc cài đặt pfSense không yêu cầu cấu hình phần cứng cao, chỉ cần một máy tính P3 với RAM 128 MB và ổ cứng 1GB là đủ để thiết lập tường lửa.
Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng
Tính năng của Pfsense
Tính năng này cho phép chúng ta nhóm các ports, host hoặc mạng khác nhau lại với nhau và gán cho chúng một tên chung, từ đó giúp việc thiết lập các quy tắc trở nên dễ dàng và nhanh chóng hơn.
Các thành phần trong Aliases bao gồm: Host, giúp tạo nhóm các địa chỉ IP; Network, cho phép tạo nhóm các mạng; và Port, cho phép gom nhóm các port mà không cho phép tạo nhóm các protocol, vì các protocol này được sử dụng trong các quy tắc.
Trong pfSense, phần Rules (Luật) là nơi lưu trữ các quy tắc của Firewall, với mặc định cho phép tất cả lưu thông ra vào hệ thống Để quản lý hiệu quả mạng nội bộ, bạn cần tạo các quy tắc riêng biệt.
When configuring Destination and Source options, users can choose from several options: "Any" for all addresses, "Single host or alias" for a specific IP address or alias, "LAN subnet" for local network paths, "Network" for network addresses, "LAN address" for all internal network addresses, and "WAN address" for all external network addresses Additionally, there are options for "PPTP clients," which are clients connecting via the PPTP VPN protocol, and "PPPoE clients," which are clients using the PPPoE VPN protocol for connections.
PfSense cho phép sử dụng nhiều địa chỉ IP công cộng thông qua cơ chế NAT với IP ảo, bao gồm ba loại: Proxy ARP, CARP và một loại khác Mỗi loại IP ảo phục vụ cho các tình huống khác nhau, trong đó Proxy ARP và CARP thường được sử dụng khi pfSense cung cấp ARP cho các địa chỉ IP Nếu không cần ARP, như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, người dùng sẽ áp dụng loại IP ảo khác.
Virtual IP được sử dụng trong pfSense để chuyển tiếp lưu lượng hiệu quả cho các chức năng như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1 Chúng cũng hỗ trợ tính năng failover và cho phép dịch vụ trên router kết nối với nhiều địa chỉ IP khác nhau.
Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ).
Các VIP đã được trong cùng một subnet IP của giao diện thực.
Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP.
Các VIP có thể được trong một subnet khác với IP của giao diện thực.
Không trả lời gói tin ICMP ping.
Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
Các VIP có thể được trong một subnet khác với các giao diện IP.
Không trả lời ICMP ping.
Trong Firewall, bạn có thể cấu hình thiết lập NAT để sử dụng cổng chuyển tiếp cho các dịch vụ hoặc thiết lập NAT tĩnh (1:1) cho các host cụ thể Mặc định, NAT cho các kết nối outbound được thiết lập là Automatic outbound NAT, nhưng bạn có thể thay đổi sang kiểu Manual outbound NAT nếu cần.
Routing là một trong những chức năng quan trọng của Firewall, bên cạnh việc lọc và thực hiện NAT Chức năng này bao gồm việc quản lý các tuyến tĩnh, sử dụng các giao thức định tuyến, xử lý định tuyến IP công cộng và cung cấp thông tin chi tiết về định tuyến trong mạng.
Bridging trên pfSense cho phép kết hợp nhiều interface thành một miền mới, giúp hai cổng trên tường lửa hoạt động như thể chúng thuộc cùng một miền Mỗi interface thường đại diện cho một miền riêng với một subnet IP duy nhất, nhưng khi sử dụng chức năng bridging, lưu lượng giữa các interface sẽ được kiểm soát bởi các quy luật đã được cấu hình.
VLAN (Virtual LAN) là một giải pháp hiệu quả để phân đoạn mạng thành nhiều mạng con độc lập, nhưng việc đảm bảo an toàn cho mạng là rất quan trọng trong quá trình thiết kế và triển khai Mặc dù VLAN mang lại nhiều lợi ích, nhưng nếu không chú ý đến vấn đề bảo mật, có thể xảy ra những rủi ro gây tổn hại cho mạng của bạn.
Multi-WAN của pfSense cho phép sử dụng nhiều kết nối Internet, nâng cao thời gian hoạt động và băng thông Để cấu hình Multi-WAN, cần thiết lập hai giao diện (LAN và WAN) hoạt động trước pfSense có khả năng xử lý từ 10 đến 12 giao diện WAN, mang lại sự linh hoạt và hiệu suất cao cho mạng.
WANs WAN interface bổ sung được gọi là OPT WAN.
VPN (Mạng Riêng Ảo) là một giải pháp kết nối cho phép các máy tính giao tiếp qua Internet một cách an toàn và bảo mật Thông qua việc bao bọc các gói thông tin bằng header chứa thông tin định tuyến, dữ liệu được truyền đi như trên các đường ống riêng gọi là tunnel Để đảm bảo tính riêng tư, các gói tin được mã hóa và chỉ có thể giải mã bằng các khóa phù hợp, giúp ngăn chặn việc đánh cắp thông tin trong quá trình truyền tải Chức năng VPN của pfSense được đánh giá cao về khả năng bảo mật và riêng tư.
IPsec (IP Security) đóng vai trò quan trọng trong việc giải quyết các vấn đề mà firewall không thể hoàn toàn xử lý Được phát triển bởi Internet Engineering Task Force (IETF), IPsec cung cấp các chuẩn nhằm đảm bảo xác thực host-to-host và mã hóa dữ liệu, giúp ngăn chặn sự giả mạo và bảo vệ thông tin khỏi những kẻ tấn công Mặc dù firewall có thể giảm nguy cơ tấn công trên Internet, nhưng vẫn còn hai vấn đề lớn là tính toàn vẹn và sự riêng tư của dữ liệu truyền giữa các host IPsec giải quyết những vấn đề này và khi kết hợp với firewall, nó mang lại nhiều khả năng đặc biệt như VPN, lọc gói tốt hơn và cải thiện xác minh host thông qua tiêu đề xác thực IPsec, thay vì chỉ dựa vào địa chỉ IP hiện tại.
Pfsense có thể hoạt động như một máy chủ PPTP VPN, là một trong ba tùy chọn VPN phổ biến nhất PPTP được ưa chuộng vì hầu hết các hệ điều hành đều tích hợp sẵn client PPTP, bao gồm tất cả các phiên bản.
Windows từ Windows 95 Tuy nhiên nó không được đảm bảo an toàn, không nên sử dụng.
OpenVPN là một giải pháp VPN mã nguồn mở dựa trên SSL, phù hợp cho việc truy cập từ xa và kết nối giữa các site Nó hỗ trợ nhiều hệ điều hành, bao gồm BSD, Linux, Mac OS X và Windows.
TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA PFSENSE
Triển khai Iptables
Tường lửa Iptables là một giải pháp miễn phí tích hợp trong các hệ điều hành Linux, giúp kiểm soát truy cập cho mạng máy tính nội bộ và phân vùng mạng máy chủ hiệu quả.
Hướng dẫn này trình bày cách thiết lập các quy tắc cho tường lửa Iptables nhằm kiểm soát dịch vụ cho mạng nội bộ, mạng DMZ và mạng Internet Cụ thể, nó cho phép người dùng trong mạng LAN truy cập Internet thông qua các giao thức HTTP, HTTPS, ICMP và DNS.
Cho phép người dùng từ mạng Internet và mạng nội bộ truy cập được trang web từ máy chủ web trong phần vùng DMZ.
Cho phép người dùng sử dụng ứng dụng thư điện tử để gửi và nhận thư với nhau.
01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng thư Mozilla Thunderbird
01 máy ảo hệ điều hành Windows Server 2012.
Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft.
Đã cài dịch vụ phân giải tên miền DNS với các bản ghi thích hợp cho web và mail.
Đã cài phần mềm máy chủ thư điện tử (MDaemon V10).
01 máy ảo hệ điều hành CentOS 6.5 để làm tường lửa Iptables
3.1.4 Một số câu lệnh cơ bản sử dụng trong tường lửa Iptables
Lệnh khởi động tường lửa:
[root@server]# service iptables start [root@server]# service iptables stop [root@server]# service iptables restart
Để khởi động Iptables mỗi khi khởi động máy:
[root@server]# chkconfig iptables on
Để xem tình trạng của Iptables:
[root@server]# service iptables status
Lưu thông tin cấu hình:
[root@server]# /etc/init.d/iptables save
Lệnh xóa toàn bộ luật có trong Iptables:
[root@server]# iptables -F [root@server]# iptables –t nat -
3.1.5 Các kịch bản thực hiện
Kịch bản 1 Cho phép máy tính trong LAN Ping ra ngoài mạng Internet
Tại máy trạm Windows 7 thực Ping đến địa chỉ IP bất kỳ.
Kết quả, không Ping được ra ngoài mạng
Bước 2: Thiết lập luật trên tường lửa Iptables để cho phép máy trạm Ping ra bên ngoài.
Trước hết cần kiểm tra tên của các giao diện mạng trên máy tường lửa
Trong hình trên giao diện eth1 kết nối mạng Internet Giao diện eth2 kết nối mạng nội bộ, giao diện eth3 kết nối mạng máy chủ.
Tiếp theo đặt lệnh cho Iptables để cho phép máy trạm trong mạng nội bộ Ping ra mạng Internet.
[root@server]#iptables -A FORWARD -i eth2 -o eth1
[root@server]#iptables -A FORWARD -i eth1 -o eth2
[root@server]#iptables -t nat -A POSTROUTING -o eth1 -s 172.16.1.0/24 -j SNAT to-source
[root@server]#nano /proc/sys/net/ipv4/ip_forward 0 -> 1
Địa chỉ IP 192.168.190.4 đại diện cho giao diện mạng kết nối Internet (eth1) và có thể thay đổi tùy thuộc vào từng trường hợp cụ thể của máy ảo.
Bước 3: Kiểm tra kết quả
Trở lại máy trạm Windows 7 kiểm tra Ping tới địa chỉ IP tại bước 1 Kết quả thành công.
Kịch bản 2: Cho phép máy tính trong LAN truy vấn DNS ra Internet
Bước 1: Kiểm tra truy vấn
Trước khi thiết lập luật cho tường lửa, tại máy trạm Windows 7 không truy vấn được DNS Sử dụng lệnh nslookup để truy vấn.
Bước 2: Cấu hình luật để cho phép truy vấn DNS tại tường lửa.
[root@server]#iptables -A FORWARD-i eth2 -o eth1 -s 172.16.1.0/24 -p udp dport 53 -j
[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p udp sport 53 -j
Bước 3: Kiểm tra kết quả
Kết quả, lúc này tại máy Windows 7 thực hiện truy vấn thành công
Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập được các website từ mạng Internet
[root@server]#iptables -A FORWARD -i ens39 -o ens33 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT
[root@server]#iptables -A FORWARD -i ens33 -o ens39 -s 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT
Kịch bản 4: Cho phép truy cập tới máy chủ web trong phân vùng mạng DMZ
[root@server]#iptables -A FORWARD -i ens39 -o ens38 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT
[root@server]#iptables -A FORWARD -i ens38 -o ens39 -d 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT
[root@server]#iptables -t nat -A POSTROUTING -o ens38 -s 172.16.1.0/24 -d 10.0.0.0/24 -j SNAT
Thiết lập và cấu hình tường lửa PfSense
Tường lửa PfSense là một giải pháp tường lửa mềm miễn phí, giúp kiểm soát lưu lượng mạng hiệu quả và thực hiện các biện pháp bảo vệ an toàn cho hệ thống mạng máy tính.
PfSense là một tường lửa mạnh mẽ, được cấu hình chủ yếu qua dòng lệnh, nhưng cũng hỗ trợ giao diện đồ họa thân thiện Điều này giúp quản trị viên dễ dàng thiết lập, theo dõi và quản lý hoạt động của mạng, từ đó đảm bảo an toàn cho hệ thống máy tính.
01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng Google Chrome
01 máy ảo hệ điều hành Windows Server 2012.
Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft.
Đã cài phần mềm máy chủ thư điện tử (MDaemon V10).
Hình 4.5 Mô hình cài đặt
Bước 1: Chuẩn bị các máy ảo
Bước 2: Cài đặt tường lửa PfSense
Bước 3: Cấu hình tường lửa cơ bản
Bước 4: Quản trị tường lửa bằng đồ họa
Bước 5: Tạo tập luật theo kịch bản
3.2.4 Chuẩn bị các máy ảo
Máy ảo Windows 7 với cấu hình như sau:
Cấu hình phần cứng: chú ý Vmnet2
Cài đặt trình duyệt Google Chrome
Cấu hình phần cứng: chú ý Vmnet3
Cài đặt máy chủ web IIS
Truy cập theo đường dẫn để cài đặt dịch vụ
Server Manager → Manage → Add Roles and Features
The Add Roles and Features window appears; click Next to initiate the installation process In the Select installation type section, choose Role-based or feature-based installation to set up services and features for the server.
Chọn Next để tiếp tục cài đặt.
Trong tùy chọn Select destination server → Chọn Select a server from the server pool.
Tiếp tục lựa chọn dịch vụ
Chọn Next để tiếp tục.
Trong mục Select features để mặc định → chọn Next để tiếp tục.
Các bước tiếp theo để mặc định → Install
Quá trình cài đặt thành công. Để kiểm tra dịch vụ web, sử dụng trình duyệt Internet Explorer trên Server
2012 Truy cập theo đường dẫn: http://localhost
Nội dung hiển thị như trên thì dịch vụ web đã hoạt động.
Từ giao diện trên chọn CD/DVD → trỏ tới nơi lưu trữ hệ điều hành PfSense
Nhấn Open để lựa chọn hệ điều hành.
Chọn OK để hoàn tất cấu hình phần cứng.
3.2.6 Cài đặt tường lửa PfSense
Sau khi cấu hình phần cứng cho máy ảo PfSense xong, khởi động máy ảo.Quá trình cài đặt bắt đầu
Quá trình diễn ra mặc định
Quá trình tiếp theo để mặc định và nhấn Enter để cài đặt.
Giao diện cuối cùng chọn
Chọn No để bỏ qua chế độ kiểm tra.
Chọn Reboot để khởi động lại tường lửa sau khi đã cài đặt xong
3.2.7 Cấu hình tường lửa cơ bản
Sau khi khởi động lại tường lửa, bắt đầu cấu hình cơ bản:
Cấu hình mạng LAN ảo, chọn n để bỏ qua.
Lựa chọn cổng mạng tương ứng với các phân vùng mạng
Le0: Cổng mạng kết nối Internet
Le1: Cổng mạng kết nối LAN
Le2: Cổng mạng kết nối DMZ
Chọn y để thực hiện xử lý.
Tiếp tục cấu hình địa chỉ IP cho mỗi cổng mạng tương ứng với mô hình đã cho.
Chú ý: ở trong môi trường ảo hóa này IP cổng WAN nên để mặc định Tiếp tục cấu hình cho cổng LAN
Chú ý: muốn quản trị tường lửa PfSense qua giao diện web thì phải thực hiện bước sau đây:
Tương tự cấu hình IP cho cổng mạng DMZ qua OPT1
Kết quả cuối cùng sau khi cấu hình cơ bản:
Kiểm tra kết nối tới các máy:
Kết quả cấu hình mạng thành công.
3.2.8 Quản trị tường lửa bằng đồ họa
Sau khi hoàn tất cấu hình cơ bản, bạn có thể sử dụng trình duyệt web trên máy tính Windows 7 để truy cập và quản lý tường lửa thông qua giao diện đồ họa.
Tại máy Windows 7 sử dụng trình duyệt Google Chrome đã cài đặt truy cập theo đường dẫn: http://172.16.1.1
Công việc đầu tiên cần thay đổi mật khẩu cho tài khoản admin
Nhấn Save ở phía cuối trang để lưu và trở về giao diện quản trị.Giao diện quản trị chung
Thông tin về cổng mạng
Lưu ý rằng địa chỉ IP của cổng WAN khác với địa chỉ IP trong mô hình đã được cung cấp, vì để sử dụng chế độ DHCP, trong môi trường máy ảo, chế độ này cần được kích hoạt để có thể truy cập Internet.
Trong thực tế IP cổng này là IP public là địa chỉ tĩnh.
3.2.9 Tạo tập luật theo kịch bản
Kịch bản 0: Xóa các luật mặc định.
Khi cài đặt xong tường lửa, hệ thống sẽ tự động tạo ra các luật mặc định Tuy nhiên, những luật này không đủ an toàn, vì vậy cần thiết lập lại từ đầu để đảm bảo bảo mật tốt hơn.
Truy cập theo đường dẫn: Firewall → Rules → LAN
Xóa các luật mặc định, kích vào tùy chọn Apply changes, kết quả.
Lúc này chỉ còn 1 luật mặc định, luật này không thể xóa được vì đây là luật cho quản trị tường lửa.
Kịch bản 1: Cho phép máy trạm trong mạng LAN Ping ra Internet Trước khi thiết lập luật, kiểm tra Ping:
Kết quả đang bị chặn bởi tường lửa.
Chọn Add, giao diện cấu hình luật xuất hiện lựa chọn các thông tin sau:
Chọn Save để lưu cấu hình Kết quả
Ping kiểm tra lại, kết quả:
Như vậy sau khi thiết lập luật cho tường lửa, thì lúc này các gói tin ICMP đi qua tường lửa đều cho phép.
Kịch bản 2: Cho phép máy tính trong mạng LAN truy vấn DNS ra Internet Chọn Add, cấu hình luật với thông tin như sau:
Nhấn Save để lưu, và Apply Changes để chạy luật.
Kiểm tra kết quả, sử dụng giao diện dòng lệnh DOS, chạy lệnh: nslookup để kiểm tra:
Có kết quả trả về địa chỉ IP tương ứng với tên miền.
Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập website qua cổng
Luật đã tạo như sau:
Kiểm tra kết quả truy cập website trên Windows 7:
Kịch bản 4: Cho phép máy tính ngoài Internet truy cập vào website trên máy chủ DMZ
Chuyển qua giao diện cấu hình cho WAN Bỏ 2 luật mặc định đã được tạo sẵn trong mạng WAN bằng cách vào phần setting bỏ 2 tùy chọn như sau:
Vào phần Add để tạo luật với các thông tin như sau:
Kết quả: Để người dùng từ bên ngoài có thể truy cập được cần thực hiện NAT từ ngoài vào trong máy web server.
Vào Firewall → NAT Để public các dịch vụ, chúng ta sử dụng NAT chế độ Port Forward
Note: The WAN address refers to the firewall's network gateway connecting to the Internet, which in this configuration is set to 192.168.190.129 External clients (in this practical exercise, a physical computer) access the website using this address.
Chọn lưu và Apply Change.
Truy cập vào địa chỉ đã cung cấp thông qua trình duyệt web trên máy vật lý, nơi mà máy vật lý và máy ảo kết nối với nhau thông qua cổng NAT của máy ảo.
Kịch bản 5: cho phép người dùng trong mạng LAN gửi và nhận mail với người dùng ngoài Internet sử dụng mail server trong DMZ.
Cài đặt dịch vụ DNS trên máy chủ Windows Server 2012
Truy cập vào Server Manager chọn Manage → Add role and feature
Tích vào dịch vụ DNS để cài đặt Các tùy chọn tiếp theo để mặc định Sau khi cài đặt thành công vào Tool để cấu hình cho DNS.
Giao diện quản trị DNS xuất hiện:
Chọn Forward Lookup Zone để tạo tên miền với IP tương ứng.
Để tạo phân giải ngược, hãy chọn Reverse Lookup Zone Để kiểm tra xem dịch vụ DNS hoạt động chính xác hay không, bạn cần sử dụng chương trình DOS (cmd) cùng với lệnh nslookup.
Trước tiên cần cấu hình lại địa chỉ IP của máy chủ DNS trong cấu hình mạng.
Kết quả truy vấn thành công.
Cài đặt dịch vụ mail trên máy chủ Windows Server 2012:
Sao chép phần mềm máy chủ thư điện tử MDaemon V10 vào Server 2012.
Thực hiện cài đặt và điền một số thông tin như sau:
Sau khi cài đặt xong mail server, tạo các tài khoản người dùng mail
Vào mục Account → new account, với các thông tin
Tương tự tạo tài khoản cho user2.
Tại máy Windows 7 thiết lập tài khoản cho user1.
Sử dụng phần mềm Thunderbird Setup 31.5.0 làm mail client cho tài khoản user1.
Cài đặt và cấu hình như sau:
Trước tiên phải chuyển IP DNS trên Windows 7 như sau:
Sử dụng DOS (cmd) lệnh nslookup để truy vấn thử tên miền.
Cài đặt phần mềm Thunderbird, cấu hình như sau:
Chọn Continue để tiếp tục, của sổ xuất hiện chọn Manual config
Chọn Re-test để kiểm tra kết nối.
Lúc này chương trình sẽ báo lỗi vì tường lửa đang chặn kết nối từ LAN tới
Mở luật trong tường lửa để cho phép kết nối mail (POP3, SMTP) truyền tải thông tin.
Truy cập vào trình duyệt quản trị tường lửa, vào phần Rules → LAN và mở luật như sau:
Kết quả: mail client truy vấn thành công.
Nhấn Done để kết thúc cài đặt và thiết lập cho mail client.
Kiểm tra quá trình gửi và nhận mail đã thành công hay chưa
Tại phần mềm mail, với tài khoản user1 gửi và nhận thư cho chính nó để kiểm tra
Kết quả: Đã gửi và nhận thư thành công.
Cấu hình luật để Public dịch vụ mail ra Internet:
Cấu hình trên máy tính vật lý
Cài đặt phần mềm Thunderbirth và thiết lập giống như trong Win7
Kết quả thành công Done để đóng của sổ cấu hình.
