TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA KHOA HỌC VÀ KỸ THUẬT THÔNG TIN NHẬP MÔN BẢO ĐẢM VÀ AN NINH THÔNG TIN BÁO CÁO THỰC HÀNH LAB – TƯỜNG LỬA LINUX (IP TABLE) Giảng viên hướng dẫn: Phạm Nhật Duy Lớp: IE105.N11 Sinh viên thực hiện: Nguyễn Gia Huy MSSV: 20520203 Võ Lục Thanh Trà MSSV: 20520319 Vũ Tùng Lâm MSSV: 20521521 Nguyễn Đức Duy MSSV: 20520469 Lê Tấn Lộc MSSV: 20520235 Nguyễn Đình Khoa MSSV: 20520586 TP Hồ Chí Minh – 09/02/2023 Mục lục I Mục tiêu II IPTABLE 1 Giới thiệu tường lửa iptables 2 Cơ chế xử lý gói tin iptables Đặc điểm viết rule iptables Một số lưu ý quan trọng III Triển khai tường lửa IP TABLE Mô tả lab Mơ hình triển khai IV Báo cáo chi tiết .6 Cấu hình máy ảo cài CentOS sau: Bật tính IP Fowarding CentOs Khởi động, tắt khởi động lại IpTables Xóa tất Rule IpTables Xem thông tin trạng thái iptables Chỉnh sửa rule mặc định iptables thành DROP Cấu hình cho phép SSH vào Iptables .10 Cấu hình cho phép ứng dụng giao tiếp với thông qua cổng lookback iptables 10 Cấu hình cho phép kết nối khởi động trước 11 10 Cấu hình NAT vùng mạng Client internet dùng địa IP card eth0 (giống chức NAT overload router Cisco) .11 11 Cấu hình rule cho phép PC thuộc lớp mạng 192.168.1.0/24 duyệt web theo giao thức http, https 12 12 Cho phép PC1 thực ping đến Iptables .13 13 Lưu lại cấu hình iptables .13 I Mục tiêu II - Tìm hiểu chế vận hành tường lửa môi trường linux - Cài đặt cấu hình tường lửa IPTABLE mơi trường Linux IPTABLE Giới thiệu tường lửa iptables IPTables tổ chức Netfilter Organization viết dùng để tăng tính bảo mật cung cấp miễn phí phiên distro hệ điều hành Linux Iptables gồm phần : Iptables nằm nhân ( user mode) Netfilter ( kernel mode) Iptables cung cấp tính sau:  Tích hợp tốt với kernel tất phiên distro Linux  Có khả phân tích gói tin ( mức IP ) hiệu  Cung cấp khả chuyển dịch địa IP (Network Address Translation)  Cung cấp số kỹ thuật ngăn chặn số kiểu công DOS, port scan,  … Cơ chế xử lý gói tin iptables Iptables kiểm tra tất gói tin qua firewall iptables theo thứ tự theo nguyên tắc kiểm soát truy cập ( gọi rules) từ rules thứ đến rules cuối Iptables tổ chức theo kiểu bảng để thực tổ chức phân loại xử lý gói tin Có loại bảng iptables:  Bảng MANGLE: chịu trách nhiệm biến đổi trường Type Of Service Bit gói tin TCP Bảng chủ yếu sử dụng mạng SOHO (Small Office Home Office)  Bảng FILTER: chịu trách nhiệm việc thiết lập lọc cho lọc gói ( packet filtering), có loại built-in chain xây dựng sẵn để mơ tả sách firewall Ba chain là: o Forward Chain : Áp sách gói tin từ card mạng firewall đến card mạng khác để qua mạng khác o Input Chain : Áp sách gói tin vào firewall o Output Chain : Áp sách gói tin từ firewall  Bảng NAT: Thực thi tính chuyển dịch địa IP ( Network Address Translation) Bảng có loại Chain sau: o PREROUTING (tiền định tuyến) : NAT từ vào mạng nội Quá trình NAT thực trước trình định tuyến, điều thuận lợi cho việc chuyển dịch địa IP đích cho phù hợp với bảng định tuyến Firewall, kỹ thuật ta gọi DNAT ( Destination NAT) o POSTROUTING( NAT hậu định tuyến) : NAT từ ngồi Q trình NAT thực sau q trình định tuyến hồn tất, điều thuận lợi cho việc chuyển dịch địa nguồn gói tin thành địa IP khác, kỹ thuật ta gọi SNAT (Source NAT) Đặc điểm viết rule iptables  Rule gồm điều kiện định ( target)  Bắt đầu từ rule  Khi điều kiện rule thỏa, gói tin áp sách trường target  Khi điều kiện khơng thõa, iptables kiểm tra điều kiện rule ( theo thứ tự)  Khi khơng có điều kiện thuộc rule thỏa, sách mặc định tương ứng với chain áp dụng ( sách mặc định Chain DROP hay ACCEPT) Một số sách áp dụng cho gói tin:  ACCEPT: iptables cho phép gói tin qua  DROP: iptables khơng cho phép gói tin qua  REJECT: iptables khơng cho phép gói tin qua gửi thông báo ngược lại cho người gửi  DNAT: thay đổi địa đích gói tin, thường kèm thơng số địa IP muốn thay đổi SNAT : thay đổi địa nguồn gói tin, thường kèm thơng số địa IP muốn thay đổi Một số trạng thái kết nối sử dụng   NEW : gói liệu thuộc kết nối hồn tồn ESTABLISHED: gói liệu thuộc kết nối khởi tạo hai hướng RELATED: gói liệu thuộc kết nối phụ kết nối tại, thường dùng với giao thức icmp hay ftp 4 Một số lưu ý quan trọng Chúng ta trình bày số thơng số quan trọng, để xem tất thông số iptables, dùng lệnh man iptables hay iptables help linux III Triển khai tường lửa IP TABLE Mô tả lab Trong lab này, triển khai iptables hệ điều hành Linux network firewall Mơ hình triển khai Bảng thông tin địa IP: IP Address SubnetMask Default Gateway D NS PC1 192.168.15.129 255.255.255.0 192.168.15.2 8.8.8.8 PC2 192.168.15.135 255.255.255.0 192.168.15.2 8.8.8.8 Iptables(CentO S) eth0 : Bridge eth1 : 192.168.1.254 255.255.255.0 IV Báo cáo chi tiết Cấu hình máy ảo cài CentOS sau: - Các địa IP Bật tính IP Fowarding CentOs  Ở máy ảo bật ip forwarding sẵn Khởi động, tắt khởi động lại IpTables  Khởi động iptables : - service iptables start  Tắt iptables :  service iptables stop Tắt khởi động lại iptables : - service iptables restart Xóa tất Rule IpTables - iptables –F Xem thông tin trạng thái iptables - iptables -L -n -v hay service iptables status  Kiểm tra máy thật có SSH đến Iptables hay khơng - Cấu hình cho phép SSH vào Iptables  Kết quả:  Iptables ping đến PC1 hay không?  Iptables ping đến PC1 Chỉnh sửa rule mặc định iptables thành DROP  iptables -P INPUT DROP  iptables -P OUTPUT DROP 10  iptables -P FORWARD DROP  Phiên kết nối SSH ban đầu khơng cịn tồn  Iptables khơng ping đến PC1 Cấu hình cho phép SSH vào Iptables - iptables -A INPUT -p tcp dport 22 -m state state NEW,ESTABLISHED,RELATED -j ACCEPT - iptables -A OUTPUT -p tcp sport 22 -m state state NEW,ESTABLISHED,RELATED -j ACCEPT  Kiểm tra thấy máy thật có SSH vào iptables 11 Cấu hình cho phép ứng dụng giao tiếp với thông qua cổng lookback iptables - iptables -A INPUT -i lo -j ACCEPT Cấu hình cho phép kết nối khởi động trước - iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT 10 Cấu hình NAT vùng mạng Client internet dùng địa IP card eth0 (giống chức NAT overload router Cisco) - iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE  Kiểm tra:  PC1 PC2 không sử dụng dịch vụ http, https, dns 12  PC1 PC2 không ping iptables 11 Cấu hình rule cho phép PC thuộc lớp mạng 192.168.1.0/24 duyệt web theo giao thức http, https - iptables -A FORWARD -i ens36 -o ens33 -p udp dport 53 -j ACCEPT - iptables -A FORWARD -i ens36 -o ens33 -p tcp dport 80 -j ACCEPT 13 - iptables -A FORWARD -i ens36 -o ens33 -p udp dport 443 -j ACCEPT - iptables -A FORWARD -i ens33 -o ens36 -m state state RELATED,ESTABLISHED -j ACCEPT Lưu ý : - p : giao thức ứng dụng - s : source ip lớp mạng - m state : trạng thái kết nối  Ý nghĩa rule cuối cùng: cho phép tất gói tin từ cổng ens33 vào cổng ens36 phần kết nối khởi tạo trước ( Ở mặc định máy ảo em ens33 = eth0 ens36 = eth1 )  Kết quả: o PC1 truy cập số trang web theo giao thức http o PC2 truy cập số trang web theo giao thức https o PC1, PC2 dùng lệnh nslookup phân giải tên miền o PC1, PC2 ping đến website www.google.com.vn 12 Cho phép PC1 thực ping đến Iptables - iptables -A INPUT -p icmp icmp-type -s 192.168.15.129 -m state state NEW,ESTABLISHED,RELATED -j ACCEPT - iptables -A OUTPUT -p icmp icmp-type -d 192.168.15.129 -m state state NEW,ESTABLISHED,RELATED j ACCEPT 14 - Kiểm tra:  PC1 ping đến iptables  PC2 không ping đến iptables 13 Lưu lại cấu hình iptables - iptables-save > /etc/sysconfig/iptables 15 16 17