Sau khi nhập xong các dòng trên. Mở tập tin /etc/sysctl.conf và chỉnh lại dòng sau:
3.2.1.2 Hướng dẫn chặn port và dịch vụ trên iptables Giới hạn icmp từ bên ngoài: Giới hạn icmp từ bên ngoài:
#iptables -N icmp_rules
# iptables -A icmp_rules -m limit --limit-burst 5 --limit 2/m -j RETURN # iptables -A icmp_rules -j DROP
# iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j icmp_rules
Client (10.1.1.2) ping tới máy chủ iptables: ping 10.1.1.10 –t
Hình 3.3 Kiểm tra lại cách chặn gói icmp
Chỉ 5 gói đầu trong phút đầu tiên được chấp nhận, thỏa luật RETURN đó. Bây giờ đã đạt đến mức đỉnh là 5 gói, lập tức Iptables sẽ giới hạn PING tới lo là 2 gói trên mỗi phút bất chấp có bao nhiêu gói được PING tới lo đi nữa. Nếu trong phút tới khơng có gói nào PING tới, Iptables sẽ giảm limit đi 2 gói tức là tốc độ đang là 2 gói/phút sẽ
tăng lên 4 gói/phút. Nếu trong phút nữa khơng có gói đến, limit sẽ giảm đi 2 nữa là trở về lại trạng thái cũ chưa đạt đến mức đỉnh 5 gói. Q trình cứ tiếp tục như vậy. Bạn chỉ cần nhớ đơn giản là khi đã đạt tới mức đỉnh, tốc độ sẽ bị giới hạn bởi tham số limit. Nếu trong một đơn vị thời gian tới khơng có gói đến, tốc độ sẽ tăng lên đúng bằng -- limit đến khi trở lại trạng thái chưa đạt mức --limit-burst thì thơi.
Đưa website, mail, ftp ra ngồi internet 1:website: cổng 80 (HTTP), 443( HTTPS)
Hình 3.4 Truy cập từ ngồi vơ máy chủ web khi chưa đưa ra ngoài
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.2 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.1.2
Hình 3.5 Truy cập được tới máy chủ web sau khi đưa ra ngoài FTP: FTP:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.1.2 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 20 -j DNAT --to 192.168.1.2
Mail:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to 192.168.1.2 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.1.2
3.2.1.3 Một số dịch vụ * Chặn truy cập internet: * Chặn truy cập internet:
Hình 3.6 Thư truy cập google.com.vn khi chưa chặn internet
* Cấm IP: 192.168.1.2 truy cập internet
# iptables -A INPUT -i eth0 -s 192.168.1.2 –p tcp --dport 80 -j DROP # iptables –I FORWARD –i eth1 –s 192.168.1.2 –p tcp --dport 80 -j DROP
* Cấm 1 dãy IP truy cập internet:
iptables -I FORWARD -m iprange --src-range 192.168.1.100-192.168.1.150 –p tcp -- dport 80 -j DROP
Hình 3.7 Sau khi chặn internet. Client khơng thể truy cập * Cấm truy cập theo thời gian * Cấm truy cập theo thời gian
iptables –I FORWARD –s 192.168.1.15 –p tcp --dport 80 –m time –timestart 11:00 – timestop 11.30 --weekdays Mon,Tue,Wed,Thu,Fri,Sun –j DROP
Truy cập web lại lúc: 11:32 AM
Hình 3.9 Truy cập lại website sau khoản thời gian bị giới hạn 3.2.2 Nessus 3.2.2 Nessus
Vẽ Mô Hình
Hình 3.10 Mơ hình mạng dùng Nessus
3.2.2.1 Hướng dẫn cài đặt
Lưu ý:
Máy chủ Nessus cần được cấu hình trên các hệ thống Linux, nhưng chương trình giao tiếp (Nessus client) có thể cài trên các hệ thống Windows OS hoặc Linux.
Cách 1:Đầu tiên chúng ta tải về bốn tập tin
1. nessus-libraries-2.0.9.tar.gz
2. libnasl-2.0.9.tar.gz
3. nessus-core-2.0.9.tar.gz
4. nessus-plugins-2.0.9.tar.gz
Tiến hành cài đặt theo thứ tự sau: #tar –zxvf nessus-libraries-2.0.9.tar.gz #cd ../nessus-libraries-2.0.9
#./configure && make && make install #cd ../
#tar –zxvf libnasl-2.0.9.tar.gz #cd libnasl-2.0.9
#./configure && make && make install #cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz #cd nessus-core-2.0.9
#./configure && make && make install #cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz #cd nessus-plugins-2.0.9
#./configure && make && make install