Triển khai Iptables trên hệ điều hành Linu

Một phần của tài liệu TÌM HIỂU và TRIỂN KHAI IPTABLES TRÊN LINUX CHO CÔNG TY cổ PHẦN CÔNG NGHỆ SÁNG tạo VIỆT (Trang 58 - 71)

CHƯƠNG 3: NỘI DUNG THỰC HIỆN

3.2 Triển khai Iptables trên hệ điều hành Linu

Hình 3. 2. Mô hình triển khai Iptables cho hệ thống mạng của công ty

a) Cài đặt và cấu hình Iptables

Bước 1: Cài đặt Iptables.

Trên linux ta kiểm tra gói Iptables đã cài đặt chưa. Thông thường Iptables được cài đặt mặc định trên hệ thống.

Kiểm tra bằng lệnh:

#rpm –qa iptables

Nếu chưa cài thì cài bằng lệnh sau:

#rpm –ivh iptables-1.4.7-4.el6.x86_64.rpm

Xem các luật đã được cấu hình:

Hình 3. 3. Các luật trong Iptables

Bước 2: Cấu hình iptables. Cấu hình bằng lệnh ta thực hiện lệnh vi truy cập vào file: vi /etc/sysconfig/iptables

Hình 3. 4. Cấu hình Iptables

Bước 3: Cấu hình một số luật cho iptables

Để giới hạn truy cập SSH với iptables, ta triển khai như sau:

# iptables -A INPUT -p tcp -m state --state NEW --source 172.168.1.2 --dport 22 -j ACCEPT

Và để chắc chắn rằng không có host nào khác được truy cập dịch vụ SSH:

Hình 3. 5. Kiểm tra truy cập ssh

- Để thử lại cấm truy cập ssh trên firewall ta thực hiện cấu hình như sau:

# iptables -A INPUT -p tcp -m state --state NEW --source 172.168.1.10--dport 22 -j ACCEPT

Hình 3. 6. Thực hiện cấm truy cập ssh

Cấu hình Iptables để cho phép NAT out cho các máy trong mạng nội bộ truy cập ra internet:

- Từ mô hình mạng đã cho ta đi cấu hình chia sẽ để các máy client truy cập internet được thông qua cơ chế firewall. Cơ chế chia sẽ truy cập internet này so với proxy nó không mạnh và nhiều tình năng như proxy. Trong phần sau chúng ta sẽ thực hiện kết hợp giữa proxy và firewall trên máy tình proxy. Khi thực hiên cấu hình NAT tất cả các máy nội bộ đi ra internet sẽ dùng địa chỉ của máy firewall eth0 là 192.168.142.0/24 để làm thực hiện quá trình xử lý ngoài internet.

- Để cấu hình NAT ta cần bật chế độ cho phép các packet đi qua hai interface của máy firewall là eth0 và eth1 như sau:

Hình 3. 7. Trusted Interfaces

- Ta đi thực hiện thay đổi giá tri forward bằng “1” tức là cho phép các interface giao tiếp với nhau bằng cách thực hiện như sau vào file /etc/sysctl.conf cấu hình các thông số sau:

- Bật tính năng forwarding trên iptables cho phép chuyển các packet giữa các interface trên firewall:

#echo 1>/proc/sys/net/ipv4/ip_forward

- Để tạo kết nối “transparent” giữa mạng LAN 10.0.0.0/24 với Internet ta cấu hình cho tường lửa Iptables như sau:

#iptables -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Lệnh này sẽ đổi IP nguồn cho các packet ra card mạng eth0 là 192.168.142.10 Khi nhận được packet vào từ Internet, Iptables sẽ tự động đổi IP đích 192.168.142.10 thành IP đích tương ứng của máy tính trong mạng LAN 10.0.0.0/24.

Hình 3. 8. Kiểm tra trên máy client nội bộ

- Để tạo kết nối trong suốt từ Internet vào các máy chủ webserver:

A PREROUTING -d 192.168.142.10 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.168.1.2:80

b) Cấu hình Proxy server

Cài đặt squid Proxy server:

#rpm –ivh squid-3.1.10-1.el6_1.1.x86_64.rpm

Sau khi cài xong ta vào file cấu hình và tiến hành cấu hình như sau: • Tạo acl đường mạng nội bộ cho công ty như sau:

acl mangnoibo src 10.0.0.0/24

• Tạo acl đường mạng internet cho công ty như sau:

acl internet src 192.168.142.0/24

• Ip cho phép gồm các ip có địa chỉ 10.0.0.10 và 10.0.0.11:

acl ipchophep src "/etc/squid/ipchophep.txt"

• Hạn chế truy cập web trong thời gian làm việc cho công ty:

acl thoigianlan time M T W H F 8:00-17:00

• Cho phép đường mạng nội bộ truy cập web nhưng cấm vào các trang được chỉ định trước như: www.facebook.com, www.yahoo.coom và nhiều trang khác nữa: acl webcam dstdomain "/etc/squid/webcam.txt"

Hình 3. 11. Cấm truy cập một số trang web

• Hạn chế người người dung trong ccong ty download file như: mp3, mp4, exe, rar

acl hamchedow url_regex "/etc/squid/hamchedow.txt"

Hình 3. 12. Hạn chế download file .exe, .rar, mp3, mp4

acl SSL_ports port 443

acl Safe_ports port 80 # http acl Safe_ports port 25 #smtp acl Safe_ports port 110 #pop3 acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl CONNECT method CONNECT

• Cấm tất cả các cổng ngoại trừ các Safe_ports trên kia:

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports http_access deny webcam

http_access deny hamchedow http_access allow ipchophep

http_access allow mangnoibo sang http_access allow internet

Sau khi ta thực hiện các luật trên thì luật cuối cùng là cấm tất cả:

http_access deny all

• Cổng của squid server:

http_port 8080

cache_dir ufs /var/spool/squid 100 16 256

• Thông số 100 tương ứng 100MB ổ cứng để cache, 16 là tạo ra 16 folder trong squid, 256 trong mỗi thư mục cấp 1 sẽ tạo ra 256 thư mục con.

Dung lượng 8 MB ram lưu trữ thông tin truy cập thường xuyên:

Tên của host name:

visible_hostname firewall

c) Firewall kết hợp Proxy

Hình 3. 13. Mô hình firewall kết hợp squid proxy

Cấu hình chế độ transparent hổ trợ tính năng trong suốt với người dùng

- Ta thêm tính năng transparent sau tính năng cấu hình cổng cho proxy như sau:

http_port 8080 transparent

- Thực hiện khởi động lại dịch vụ squid

Cấu hình chuyển đổi port đích trên firewall sang squid trên proxy bằng lệnh sau:

#iptables -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Thực hiện quá trình kiểm tra việc truy cập qua proxy mà người dùng không phải cấu hình thông tin proxy như sau:

- Trên client chúng ta truy cập vào internet chúng ta có như sau:

Hình 3. 14. Truy cập web qua proxy ở chế độ trong suốt

- Từ trên ta thấy người dùng không phải cấu hình thông tin proxy mà vẫn truy cập được internet. Sỡ dĩ ta khẳng định điều đó là vì khi ta tắt đi dịch vụ squid proxy khi đó trên client ta sẽ không thực hiện được việc truy cập internet nữa.

- Thực hiện việc tắt dịch vụ squid trên server để chứng tỏ việc truy cập internet của client thông qua squid ta thấy:

Hình 3. 15. Thực hiện tắt squid

Kết luận: Chúng ta đã biết Proxy được cấu hình cho phép các client truy cập Internet nhanh hơn nhờ tính năng lưu trữ “cache” của proxy, đồng thời nó cũng quản lý việc truy cập Internet của client như việc quản lý thời gian truy cập, quản lý truy cập theo user, hạn chế những chức năng không cần thiết. Đó là những điểm mạnh và tính năng của proxy mang lại cho chúng ta.

Firewall cũng có những tính năng cho phép các client hệ thống truy cập Internet, cơ chế NAT out và NAT input, cho phép hệ thống hạn chế được những gói tin, loại tin không được phép đồng thời nó không có chức năng tăng tốc truy cập, không có tính năng cho phép tạo ra các rule nhằm đạt được những yêu cầu của hệ thống. Đây là những điểm yếu của firewall bị hạn chế so với proxy.

Vì vậy việc kết hợp giữa fireall và proxy là sự kết hợp về mặt an ninh của hệ thống và tăng tốc truy cập internet, quản lý người dùng hệ thống.

Một phần của tài liệu TÌM HIỂU và TRIỂN KHAI IPTABLES TRÊN LINUX CHO CÔNG TY cổ PHẦN CÔNG NGHỆ SÁNG tạo VIỆT (Trang 58 - 71)

Tải bản đầy đủ (DOCX)

(72 trang)
w