Giới thiệu

Iptables Linux firewall được sử dụng để theo dõi lưu lượng truy cập đến và đi ở một máy chủ và lọc nó dựa trên các rules do người dùng định nghĩa trước đó để ngăn chặn bất cứ ai truy cập vào hệ thống. Sử dụng Iptables, bạn có thể định nghĩa các rules chỉ cho phép lưu lượng được chọn lọc trên máy chủ của bạn. Trong bài hướng dẫn này, bạn sẽ học được cách làm thế nào để bảo vệ ứng dụng web bằng cách sử dụng Iptables.

Lưu ý: Đối với người dùng RHEL/CentOS, có một dịch vụ tên là firewallD đã được cài đặt sẵn trên các hệ điều hành này. Nếu bạn muốn sử dụng Iptable, bạn phải vô hiệu hóa nó trước.

Bạn cần gì?

Trước khi bắt đầu thực hiện bài hướng dẫn này, bạn cần những điều sau:

• Một máy tính có cài trình kết nối SSH (Kết nối SSH tới VPS Hướng Dẫn)
• Một VPS chạy hệ điều hành Ubuntu phiên bản 16.04

Khái niệm cơ bản về Iptables

Tất cả các dữ liệu được gửi đi trong các gói tin được định dạng qua internet. Linux kernel cung cấp một giao diện để lọc cả các gói tin đi vào và ra sử dụng một bảng các bộ lọc gói tin. Iptables là một ứng dụng dòng lệnh và là một bức tường lửa Linux mà bạn có thể sử dụng để thiết lập, duy trì và kiểm tra các bảng này. Bạn có thể thiết lập nhiều bảng khác nhau, mỗi bảng có thể chứa nhiều chuỗi, mỗi một chuỗi là một bộ quy tắc. Mỗi quy tắc định nghĩa phải làm gì với gói tin nếu nó phù hợp với gói đó. Khi một gói tin được xác định, nó sẽ đưa ra một TARGET. Một target (mục tiêu) có thể là một chuỗi khác để khớp với một trong các giá trị đặc biệt sau đây:

• ACCEPT: gói tin sẽ được phép đi qua.
• DROP: gói tin sẽ không được phép đi qua.
• RETURN: bỏ qua chuỗi hiện tại và quay trở lại quy tắc tiếp theo từ chuỗi mà nó được gọi.

Trong phạm vi của bài hướng dẫn iptables này, chúng ta sẽ làm việc với một trong những bảng mặc định được gọi là bộ lọc. Bảng bộ lọc có ba chuỗi bộ quy tắc.

• INPUT – được sử dụng để điều khiển các gói tin đến tới máy chủ. Bạn có thể chặn hoặc cho phép kết nối dựa trên cổng, giao thức hoặc địa chỉ IP nguồn.
• FORWARD – được sử dụng để lọc các gói dữ liệu đến máy chủ nhưng sẽ được chuyển tiếp ở một nơi khác.
• OUTPUT – được sử dụng để lọc các gói tin đi ra từ máy chủ của bạn.
  
  

Bước 1: Cài đặt Iptables Linux Firewall

1. Cài đặt Iptables

Iptable được cài đặt sẵn trong hầu hết các bản phân phối của Linux. Nhưng nếu nó chưa được cài đặt trên hệ thống Ubuntu/Debian, hãy sử dụng lệnh sau để cài đặt:

sudo apt-get update
sudo apt-get install iptables

2. Kiểm tra trạng thái hiện tại của Iptables

Bạn có thể dùng lệnh sau để kiểm tra các cấu hình hiện tại của Iptables.
Tùy chọn -L để liệt kê tất cả các rules (qui tắc) và -v để hiện thêm các danh sach bổ trợ. Bạn hãy chú ý các ký tự viết hoa viết thường là khác nhau nhé.

sudo iptables -L -v

Ví dụ đầu ra như sau:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source          destination    
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source          destination    
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source          destination

Đây là kết quả của lệnh bạn vừa nhập, hiện cả ba chains được thiết lập mặc định là ACCEPT và không có rules cho bất kỳ chains nào.
Để làm cho bài hướng dẫn Iptable này thực tế hơn, chúng ta sẽ sửa đổi INPUT chain để lọc lưu lượng truy cập đến.

Bước 2: Định nghĩa các chain rules

Định nghĩa các chain rules là thực hiện thêm nó vào danh sách chain hiện tại. Đây là lệnh Iptables được định dạng với các tùy chọn thông thường, chúng tôi sẽ không nêu rõ hết tất cả các tham số.

sudo iptables -A  -i <interface> -p <protocol (tcp/udp)> -s <source> --dport <port no.>  -j <target>

-A: thêm chain rules
-i <interface> là giao diện mạng bạn cần thực hiện lọc các gói tin
-p <protocol> là giao thức mạng thực hiện lọc (tcp/udp)
–dport <port no.> là cổng mà bạn muốn đặt bộ lọc
Bạn có thể tìm hiểu thêm và các tùy chọn và các lệnh thực thi của iptable tại đây

1. Cho phép lưu lượng truy cập trên localhost

Cho phép giao tiếp giữa ứng dụng mà database của nó trên server như bình thường

sudo iptables -A INPUT -i lo -j ACCEPT

Kết quả như sau

Chain INPUT (policy ACCEPT 7 packets, 488 bytes)
pkts bytes target prot opt in out source            destination    
0 0 ACCEPT all  --  lo any anywhere          anywhere

-A thêm rules vào chains INPUT cho phép tất cả các kết nối ở interface lo 
Cho phép truy cập trên các cổng HTTP, SSH, SSL

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Cho phép tất cả các truy cập TCP trên các cổng 22 (SSH), HTTP (80), HTTPS (443)

3. Lọc các gói tin dựa trên nguồn của nó

Nếu bạn muốn cho phép hay từ chối các gói tin dựa trên một IP nguồn của nó hãy sử dụng tham số -s

sudo iptables -A INPUT -s 192.168.1.3 -j ACCEPT

Cho phép các gói tin từ IP 192.168.1.3

sudo iptables -A INPUT -s 192.168.1.3 -j DROP

Từ chối các gói tin từ  IP 192.168.1.3
Nếu bạn muốn từ chối các gói tin từ một dãy IP hãy sử dụng  tham số Iprange -m với dãy IP đặt  sau –src-range

sudo iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j DROP

4. Chặn tất cả các truy cập khác

Lưu ý: một việc rất quan trọng là bạn cần DROP tất cả các gói tin từ các nguồn khác để tránh các truy cập trái phép từ các cổng mở trên server của bạn.

sudo iptables -A INPUT -j DROP

Sau khi đã thiết lập các rules, bạn có thể kiểm tra lại bằng lệnh sau

sudo iptables -L -v

5. Xóa các rules

Nếu bạn muốn xóa tất cả các rules để tạo lại từ đầu hãy dùng lệnh

sudo iptables -F

Bạn có thể xóa từng rules khác nhau dùng tham số -D nhưng trước tiên bạn cần dùng lệnh

sudo iptables -L --line-numbers

để liệt kê các rules tương ứng với từng số

Chain INPUT (policy ACCEPT)
num  target prot opt source            destination    
1 ACCEPT all  --  192.168.0.4       anywhere       
2 ACCEPT tcp  --  anywhere          anywhere          tcp dpt:https
3 ACCEPT tcp  --  anywhere          anywhere          tcp dpt:http
4 ACCEPT tcp  --  anywhere          anywhere          tcp dpt:ssh

Sau đó dùng lệnh

sudo iptables -D INPUT 3

để xóa rules số 3 ở chain INPUT

Bước 3: Lưu giữ các thay đổi

Các Iptables rules chúng ta tạo ra đều được lưu ở bộ nhớ, nếu bạn reboot máy chủ thì bạn cần thực hiện tạo lại các rules này.
Để lưu giữ vào cấu hình hệ thống, bạn dùng lệnh sau

sudo /sbin/iptables-save

Nếu bạn muốn tắt firewall, hãy sử dụng lệnh

sudo iptables -F
sudo /sbin/iptables-save

 

Lời kết

Trong bài hướng dẫn về Iptables này, chúng tôi sử dụng Iptables Linux firewall để chỉ cho phép lưu lượng trên các cổng cụ thể và cũng đảm bảo rằng các rules sẽ được lưu lại sau khi khởi động máy chủ  lại. Linux firewall này sẽ chặn các gói tin không mong muốn nhưng có một điều lưu ý là Iptables chỉ có thể điều khiển lưu lượng ipv4. Nếu hộp VPS của bạn đã kích hoạt mạng ipv6, bạn phải đặt các quy tắc khác nhau cho lưu lượng truy cập đó với iptables.