Cấu hình Iptables
Iptables là một tường lửa có yêu cầu cao về bảo mật, giúp quản lý và lọc các gói tin dữ liệu gửi qua Internet Linux Kernel thực hiện nhiệm vụ này bằng cách cung cấp một giao diện sử dụng bảng các bộ lọc khác nhau để đảm bảo an toàn cho hệ thống.
Xóa hết các rule đã có trong chain: Iptables – X
Đặt danh sách cho các chain: ‘built-in’(INPUT, OUTPUT & FORWARD): Iptables – p
Liệt kê các rule trong chain: Iptables – L
Xóa các rule trong chain: Iptables – F
Để reset bộ đếm Packet về 0 trong Iptables, sử dụng lệnh "iptables -Z" Để thao tác với các rule trong Iptables, người dùng cần nắm vững các tùy chọn tương ứng Một số tùy chọn quan trọng mà người dùng nên nhớ sẽ giúp việc thao tác với rule trở nên dễ dàng hơn.
Tùy chọn để thao tác với rules trong Iptables
Các câu lệnh cơ bản Iptables
Để làm việc với các quy tắc trong Iptables, người dùng cần sử dụng các lệnh Các lệnh này được chia thành hai loại: cơ bản và nâng cao Tuy nhiên, người dùng thường chỉ cần áp dụng linh hoạt các lệnh cơ bản để dễ dàng quản lý các quy tắc Dưới đây là danh sách các lệnh cơ bản của Iptables, bao gồm cả lệnh tạo một quy tắc mới.
Ví dụ: iptables -A INPUT -i lo -j ACCEPT Lệnh này có nghĩa là:
A nghĩa là Append A INPUT nghĩa là khai báo kiểu kết nối sẽ được áp dụng
I nghĩa là Internet I lo nghĩa là khai báo thiết bị mạng được áp dụng
J nghĩa là Jump J ACCEPT nghĩa là khai báo hành động sẽ được áp dụng cho quy tắc này.
Nếu người dùng gõ lại lệnh iptables –L –v thì sẽ thấy ngay 1 rule mới xuất hiện after-created-iptables-rule
Sau khi thêm hoặc thay đổi các quy tắc, người dùng cần khởi động lại tường lửa để áp dụng các thay đổi bằng lệnh `service iptables save` và `service iptables restart` Để lưu lại quá trình kết nối hiện tại và tránh bị tự động chặn khỏi máy chủ, hãy thực hiện lệnh: `iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT`.
Lệnh tạo một rule mới Để các cổng được phép truy cập từ bên ngoài vào qua giao thức tcp thì hãy thực hiện theo lệnh.
Lệnh thực hiện: iptables -A INPUT -p tcp –dport 22 -j ACCEPT
p tcp: Giao thức được áp dụng
Cổng 22 cho phép áp dụng kết nối SSH, và để ngăn chặn tất cả các kết nối từ bên ngoài không thỏa mãn các quy tắc đã định, người dùng có thể sử dụng lệnh `iptables -A INPUT -j DROP` Để thêm một quy tắc mới vào một vị trí cụ thể, người dùng chỉ cần thay tham số `-A` bằng `INSERT -l` trong lệnh.
Để bổ sung một quy tắc mới trong Iptables, bạn có thể sử dụng lệnh: `iptables -I INPUT 2 -p tcp dport 8080 -j ACCEPT` Để xóa một quy tắc đã tạo tại vị trí 4, hãy sử dụng lệnh xóa với tham số -D, với cấu trúc lệnh chi tiết như sau: `iptables -D INPUT 4`.
Để xóa tất cả các quy tắc chứa hành động DROP trong Iptables, bạn chỉ cần sử dụng lệnh IPtables -D INPUT 4 Cấu trúc lệnh này sẽ giúp bạn dễ dàng loại bỏ toàn bộ các quy tắc không cần thiết.
Tổng quan về tường lửa Pfsense
Giới thiệu về Pfsense
pfSense là một giải pháp tường lửa và router mạnh mẽ, tích hợp nhiều tính năng tương tự như các thiết bị thương mại, bao gồm giao diện quản lý trực tuyến thân thiện với người dùng Dựa trên FreeBSD và sử dụng giao thức Common Address Redundancy Protocol (CARP), pfSense cung cấp khả năng dự phòng hiệu quả, cho phép quản trị viên nhóm nhiều tường lửa để tự động chuyển đổi khi cần thiết Ngoài ra, với khả năng hỗ trợ nhiều kết nối mạng diện rộng (WAN), pfSense còn cho phép thực hiện cân bằng tải một cách linh hoạt.
pfSense là một giải pháp tường lửa mạnh mẽ với nhiều tính năng tương tự như các thiết bị thương mại, bao gồm giao diện quản lý dễ sử dụng qua Web Dựa trên FreeBSD và sử dụng giao thức CARP, pfSense cho phép cấu hình dự phòng tự động giữa các tường lửa Hệ thống này hỗ trợ nhiều kết nối WAN, giúp thực hiện cân bằng tải hiệu quả Đặc biệt, việc cài đặt pfSense không yêu cầu phần cứng cao, chỉ cần một máy tính P3 với RAM 128 MB và HDD 1 GB là đủ để xây dựng tường lửa.
Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng
TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA PFSENSE
Triển khai Iptables
Tường lửa Iptables là một giải pháp tường lửa miễn phí được tích hợp sẵn trong hệ điều hành Linux, cho phép kiểm soát truy cập cho mạng máy tính nội bộ và phân vùng mạng máy chủ hiệu quả.
Hướng dẫn này trình bày cách thiết lập tập luật cho tường lửa Iptables nhằm kiểm soát các dịch vụ cho mạng nội bộ, mạng DMZ và mạng Internet Cụ thể, nó cho phép người dùng trong mạng LAN truy cập Internet thông qua các giao thức HTTP, HTTPS, ICMP và DNS.
Cho phép người dùng từ mạng Internet và mạng nội bộ truy cập được trang web từ máy chủ web trong phần vùng DMZ.
Cho phép người dùng sử dụng ứng dụng thư điện tử để gửi và nhận thư với nhau.
01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng thư Mozilla Thunderbird
01 máy ảo hệ điều hành Windows Server 2012.
Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft.
Đã cài dịch vụ phân giải tên miền DNS với các bản ghi thích hợp cho web và mail.
Đã cài phần mềm máy chủ thư điện tử (MDaemon V10).
01 máy ảo hệ điều hành CentOS 6.5 để làm tường lửa Iptables3.1.3 Mô hình cài đặt
3.1.4 Một số câu lệnh cơ bản sử dụng trong tường lửa Iptables
Lệnh khởi động tường lửa:
[root@server]# service iptables start [root@server]# service iptables stop [root@server]# service iptables restart
Để khởi động Iptables mỗi khi khởi động máy:
[root@server]# chkconfig iptables on
Để xem tình trạng của Iptables:
[root@server]# service iptables status
Lưu thông tin cấu hình:
[root@server]# /etc/init.d/iptables save
Lệnh xóa toàn bộ luật có trong Iptables:
[root@server]# iptables -F [root@server]# iptables –t nat -
3.1.5 Các kịch bản thực hiện Kịch bản 1 Cho phép máy tính trong LAN Ping ra ngoài mạng Internet Bước 1: Kiểm tra Ping
Tại máy trạm Windows 7 thực Ping đến địa chỉ IP bất kỳ.
Kết quả, không Ping được ra ngoài mạng
Bước 2: Thiết lập luật trên tường lửa Iptables để cho phép máy trạm Ping ra bên ngoài.
Trước hết cần kiểm tra tên của các giao diện mạng trên máy tường lửaIptables:
Trong hình trên giao diện eth1 kết nối mạng Internet Giao diện eth2 kết nối mạng nội bộ, giao diện eth3 kết nối mạng máy chủ.
Tiếp theo đặt lệnh cho Iptables để cho phép máy trạm trong mạng nội bộ Ping ra mạng Internet.
[root@server]#iptables -A FORWARD -i eth2 -o eth1 -s 172.16.1.0/24 -p icmp icmp-type any -j ACCEPT
[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p icmp icmp-type any -j ACCEPT
[root@server]#iptables -t nat -A POSTROUTING -o eth1 -s 172.16.1.0/24 -j SNAT to-source 192.168.190.4
[root@server]#nano /proc/sys/net/ipv4/ip_forward 0 -> 1
Địa chỉ IP 192.168.190.4 là địa chỉ của giao diện mạng kết nối Internet (eth1) và được sử dụng tùy thuộc vào từng trường hợp cụ thể của máy ảo.
Bước 3: Kiểm tra kết quả
Trở lại máy trạm Windows 7 kiểm tra Ping tới địa chỉ IP tại bước 1 Kết quả thành công.
Kịch bản 2: Cho phép máy tính trong LAN truy vấn DNS ra Internet Bước 1: Kiểm tra truy vấn
Trước khi thiết lập luật cho tường lửa, tại máy trạm Windows 7 không truy vấn được DNS Sử dụng lệnh nslookup để truy vấn.
Bước 2: Cấu hình luật để cho phép truy vấn DNS tại tường lửa.
[root@server]#iptables -A FORWARD-i eth2 -o eth1 -s 172.16.1.0/24 -p udp dport 53 -j ACCEPT
[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p udp sport 53 -j ACCEPT
Bước 3: Kiểm tra kết quả
Kết quả, lúc này tại máy Windows 7 thực hiện truy vấn thành công
Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập được các website từ mạng Internet
[root@server]#iptables -A FORWARD -i ens39 -o ens33 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT
[root@server]#iptables -A FORWARD -i ens33 -o ens39 -s 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT
Kịch bản 4: Cho phép truy cập tới máy chủ web trong phân vùng mạng DMZ
[root@server]#iptables -A FORWARD -i ens39 -o ens38 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT
[root@server]#iptables -A FORWARD -i ens38 -o ens39 -d 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT
[root@server]#iptables -t nat -A POSTROUTING -o ens38 -s 172.16.1.0/24 -d 10.0.0.0/24 -j SNAT –to-source 10.0.0.2
3.2 Thiết lập và cấu hình tường lửa PfSense
Tường lửa PfSense là một giải pháp tường lửa mềm miễn phí, giúp kiểm soát lưu lượng mạng và thực hiện các biện pháp bảo vệ an toàn cho hệ thống mạng máy tính.
PfSense là một tường lửa mạnh mẽ, được cấu hình chủ yếu thông qua dòng lệnh Với giao diện đồ họa thân thiện, quản trị viên dễ dàng thực hiện việc cấu hình và theo dõi hoạt động mạng, từ đó đảm bảo an toàn cho hệ thống máy tính.
01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng Google Chrome
01 máy ảo hệ điều hành Windows Server 2012.
Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft.
Đã cài phần mềm máy chủ thư điện tử (MDaemon V10).
Hình 4.5 Mô hình cài đặt
Bước 1: Chuẩn bị các máy ảo
Bước 2: Cài đặt tường lửa PfSense
Bước 3: Cấu hình tường lửa cơ bản
Bước 4: Quản trị tường lửa bằng đồ họa
Bước 5: Tạo tập luật theo kịch bản
3.2.4 Chuẩn bị các máy ảo
Máy ảo Windows 7 với cấu hình như sau:
Cấu hình phần cứng: chú ý Vmnet2
Cài đặt trình duyệt Google Chrome
Cấu hình phần cứng: chú ý Vmnet3
Cài đặt máy chủ web IISTruy cập theo đường dẫn để cài đặt dịch vụServer Manager → Manage → Add Roles and Features
The Add Roles and Features window appears; click Next to begin the installation process In the Select installation type section, choose Role-based or feature-based installation to set up services and features for the server.
Chọn Next để tiếp tục cài đặt.
Trong tùy chọn Select destination server → Chọn Select a server from the server pool.
Tiếp tục lựa chọn dịch vụ
Chọn Next để tiếp tục.
Trong mục Select features để mặc định → chọn Next để tiếp tục.
Các bước tiếp theo để mặc định → Install Quá trình cài đặt thành công. Để kiểm tra dịch vụ web, sử dụng trình duyệt Internet Explorer trên Server
2012 Truy cập theo đường dẫn: http://localhost
Nội dung hiển thị như trên thì dịch vụ web đã hoạt động.
Từ giao diện trên chọn CD/DVD → trỏ tới nơi lưu trữ hệ điều hành PfSense
Nhấn Open để lựa chọn hệ điều hành.
Chọn OK để hoàn tất cấu hình phần cứng.
3.2.6 Cài đặt tường lửa PfSense
Sau khi cấu hình phần cứng cho máy ảo PfSense xong, khởi động máy ảo.Quá trình cài đặt bắt đầu
Quá trình diễn ra mặc định
Quá trình tiếp theo để mặc định và nhấn Enter để cài đặt.
Giao diện cuối cùng chọn
Chọn No để bỏ qua chế độ kiểm tra.
Chọn Reboot để khởi động lại tường lửa sau khi đã cài đặt xong
3.2.7 Cấu hình tường lửa cơ bản
Sau khi khởi động lại tường lửa, bắt đầu cấu hình cơ bản:
Cấu hình mạng LAN ảo, chọn n để bỏ qua.
Lựa chọn cổng mạng tương ứng với các phân vùng mạng
Le0: Cổng mạng kết nối Internet Le1: Cổng mạng kết nối LAN Le2: Cổng mạng kết nối DMZ
Chọn y để thực hiện xử lý.
Tiếp tục cấu hình địa chỉ IP cho mỗi cổng mạng tương ứng với mô hình đã cho.
Chú ý: ở trong môi trường ảo hóa này IP cổng WAN nên để mặc định Tiếp tục cấu hình cho cổng LAN
Chú ý: muốn quản trị tường lửa PfSense qua giao diện web thì phải thực hiện bước sau đây:
Tương tự cấu hình IP cho cổng mạng DMZ qua OPT1
Kết quả cuối cùng sau khi cấu hình cơ bản:
Kiểm tra kết nối tới các máy:
Kết quả cấu hình mạng thành công.
3.2.8 Quản trị tường lửa bằng đồ họa
Sau khi hoàn tất cấu hình cơ bản, bạn có thể sử dụng trình duyệt web trên máy tính Windows 7 để quản trị tường lửa qua giao diện đồ họa Để thực hiện điều này, hãy mở trình duyệt Google Chrome đã cài đặt và truy cập vào địa chỉ: http://172.16.1.1.
User: admin Pass: pfsense Công việc đầu tiên cần thay đổi mật khẩu cho tài khoản admin
Nhấn Save ở phía cuối trang để lưu và trở về giao diện quản trị.Giao diện quản trị chung
Thông tin về cổng mạng
Lưu ý rằng địa chỉ IP của cổng WAN khác với địa chỉ IP trong mô hình đã cung cấp, vì để sử dụng chế độ DHCP, trong môi trường máy ảo, cần phải kích hoạt chế độ này để có thể truy cập Internet.
Trong thực tế IP cổng này là IP public là địa chỉ tĩnh.
3.2.9 Tạo tập luật theo kịch bản Kịch bản 0: Xóa các luật mặc định
Khi cài đặt tường lửa, hệ thống sẽ tự động tạo ra các luật mặc định Tuy nhiên, những luật này không đủ để đảm bảo an toàn cho mạng Do đó, việc thiết lập lại các quy tắc từ đầu là rất cần thiết để bảo vệ hệ thống một cách hiệu quả.
Truy cập theo đường dẫn: Firewall → Rules → LAN
Xóa các luật mặc định, kích vào tùy chọn Apply changes, kết quả.
Lúc này chỉ còn 1 luật mặc định, luật này không thể xóa được vì đây là luật cho quản trị tường lửa.
Kịch bản 1: Cho phép máy trạm trong mạng LAN Ping ra Internet Trước khi thiết lập luật, kiểm tra Ping:
Kết quả đang bị chặn bởi tường lửa.
Chọn Add, giao diện cấu hình luật xuất hiện lựa chọn các thông tin sau:
Chọn Save để lưu cấu hình Kết quả
Ping kiểm tra lại, kết quả:
Như vậy sau khi thiết lập luật cho tường lửa, thì lúc này các gói tin ICMP đi qua tường lửa đều cho phép.
Kịch bản 2: Cho phép máy tính trong mạng LAN truy vấn DNS ra Internet Chọn Add, cấu hình luật với thông tin như sau:
Nhấn Save để lưu, và Apply Changes để chạy luật.
Kiểm tra kết quả, sử dụng giao diện dòng lệnh DOS, chạy lệnh: nslookup để kiểm tra:
Có kết quả trả về địa chỉ IP tương ứng với tên miền.
Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập website qua cổng
Luật đã tạo như sau:
Kiểm tra kết quả truy cập website trên Windows 7:
Kịch bản 4: Cho phép máy tính ngoài Internet truy cập vào website trên máy chủ DMZ
Chuyển qua giao diện cấu hình cho WAN Bỏ 2 luật mặc định đã được tạo sẵn trong mạng WAN bằng cách vào phần setting bỏ 2 tùy chọn như sau:
Vào phần Add để tạo luật với các thông tin như sau:
Kết quả: Để người dùng từ bên ngoài có thể truy cập được cần thực hiện NAT từ ngoài vào trong máy web server.
Vào Firewall → NAT Để public các dịch vụ, chúng ta sử dụng NAT chế độ Port ForwardChọn Add, tạo luật:
Note: The WAN address refers to the firewall's network gateway connecting to the Internet In this configuration, the address is 192.168.190.129 An external workstation (in this practice, a physical computer) accesses the website using this address.
Chọn lưu và Apply Change.
Trên máy vật lý, người dùng có thể truy cập vào địa chỉ web đã chỉ định Máy vật lý và máy ảo được kết nối thông qua cổng NAT của máy ảo, tạo điều kiện cho việc truy cập và trao đổi dữ liệu giữa hai hệ thống.
Kịch bản 5: cho phép người dùng trong mạng LAN gửi và nhận mail với người dùng ngoài Internet sử dụng mail server trong DMZ
Cài đặt dịch vụ DNS trên máy chủ Windows Server 2012 Truy cập vào Server Manager chọn Manage → Add role and feature
Tích vào dịch vụ DNS để cài đặt Các tùy chọn tiếp theo để mặc định Sau khi cài đặt thành công vào Tool để cấu hình cho DNS.
Giao diện quản trị DNS xuất hiện:
Chọn Forward Lookup Zone để tạo tên miền với IP tương ứng.
Để tạo phân giải ngược, hãy chọn Reverse Lookup Zone Để kiểm tra xem dịch vụ DNS có hoạt động đúng hay không, bạn cần sử dụng chương trình DOS (cmd) và lệnh nslookup.
Trước tiên cần cấu hình lại địa chỉ IP của máy chủ DNS trong cấu hình mạng.
Kết quả truy vấn thành công.
Cài đặt dịch vụ mail trên máy chủ Windows Server 2012:
Sao chép phần mềm máy chủ thư điện tử MDaemon V10 vào Server 2012.
Thực hiện cài đặt và điền một số thông tin như sau:
Primary IP DNS: 10.0.0.20Sau khi cài đặt xong mail server, tạo các tài khoản người dùng mailVào mục Account → new account, với các thông tin
Tương tự tạo tài khoản cho user2.
Tại máy Windows 7 thiết lập tài khoản cho user1.
Sử dụng phần mềm Thunderbird Setup 31.5.0 làm mail client cho tài khoản user1.
Cài đặt và cấu hình như sau:
Trước tiên phải chuyển IP DNS trên Windows 7 như sau:
Sử dụng DOS (cmd) lệnh nslookup để truy vấn thử tên miền.
Cài đặt phần mềm Thunderbird, cấu hình như sau:
Chọn Continue để tiếp tục, của sổ xuất hiện chọn Manual config
Chọn Re-test để kiểm tra kết nối.
Lúc này chương trình sẽ báo lỗi vì tường lửa đang chặn kết nối từ LAN tới DMZ.
Mở luật trong tường lửa để cho phép kết nối mail (POP3, SMTP) truyền tải thông tin.
Truy cập vào trình duyệt quản trị tường lửa, vào phần Rules → LAN và mở luật như sau:
Kết quả: mail client truy vấn thành công.
Nhấn Done để kết thúc cài đặt và thiết lập cho mail client.
Để kiểm tra quá trình gửi và nhận email, người dùng có thể sử dụng phần mềm mail bằng cách gửi và nhận thư từ tài khoản user1 cho chính nó.
Kết quả: Đã gửi và nhận thư thành công.
Cấu hình luật để Public dịch vụ mail ra Internet:
Cấu hình trên máy tính vật lý Cài đặt phần mềm Thunderbirth và thiết lập giống như trong Win7
Kết quả thành công Done để đóng của sổ cấu hình.