4. PHẦN 3: KHÁI NIỆM VỀ IPTABLES 1 GIỚI THIỆU VỀ IPTABLES
4.2.2Xử lý khi IPTables không khởi động
• Khi cài đặt và khởi động IPTables thì ta dùng lệnh /etc/init.d/IPTables start. Lúc này, IPTables gọi script trong file /etc/sysconfig/IPTables. Do đó, nếu file này không tồn tại hoặc bị lỗi thì IPTables sẽ không khởi động được.
• Khi thay đổi cấu hình trên IPTables, ta phải dùng lệnh service IPTables save để lưu lại các thông tin cấu hình. Sau đó mới tiến hành restart lại IPTables.
• Khởi động IPTables:
Các tham số sau cho phép IPTables thực hiện các hành động sao cho phù hợp với biểu đồ xử lí gói do người dùng hoạch định sẵn.
Bảng 3: Các tham số chuyển mạch (switching) quan trọng của IPTables.
Lệnh switching quan trọng ý nghĩa
-A (--append) <chain> Nối thêm một quy luật nào đó vào cuối chuỗi (chain).
-D (--delete) <chain> <rule-number> Xóa rule đã chỉ định. -E (--rename-chain) <oldchain> <newchain> Đổi tên chain.
-F (--flush) [chain-name] Xóa hết tất cả mọi quy luật trong bảng đã chọn.
-I (--insert) <chain> [rule-number] Chèn thêm rule vào vị trí được xác định.
-L (--list) [chain] Xem các rule trong các chain. -N (--new-chain) <chain> Tạo một chain mới.
-P (--policy) <chain> <target> Thay đổi target mặc định cho chain.
-R (--replace) <chain> <rule-number> Thay thế một rule bằng một rule khác tại vị trí đã xác định.
-V (--version) Xem phiên bản của IPTables.
-X (--delete-chain) [chain-name] Xóa chain.
-Z (--zero) [chain] Xóa bộ đệm trong chain.
-t <table> Chỉ định bảng cho IPTables bao
gồm: filter, nat, mangle. Nếu không chỉ định rõ ràng thì filter table sẽ được áp dụng.
-j <target> Nhảy đến một target nào đó khi gói dữ liệu phù hợp quy luật hiện tại.
-p <protocol-type> Chỉ định các giao thức bao gồm: icmp, tcp, udp và all.
-s <IP-address> Chỉ định địa chỉ nguồn. -d <IP-address> Chỉ định địa chỉ đích.
-i <interface-name> Chỉ định interface cho các gói tin đi vào.
-o <interface-name> Chỉ định interface cho các gói tin đi ra.
lập kết nối.
NEW: bắt đầu thiết lập kết nối.
RELATED: thiết lập kết nối thứ 2.
INVALID: gói dữ liệu không thể nhận dạng được do thiếu tài nguyên. --icmp-type <type> Sử dụng với các tùy chọn thông dụng như: echo-reply và echo- request.
• Để hiểu rõ hơn về các lệnh, ta cùng xem một số ví dụ sau:
Ví dụ 1: Tạo một chain NEWCHAIN trong bảng IPTables.
# iptables -N NEWCHAIN
Ví dụ 2: Xóa chain NEWCHAIN trong bảng IPTables. (adsbygoogle = window.adsbygoogle || []).push({});
# iptables -X NEWCHAIN
Ví dụ 3: Xóa các rule có trong chain INPUT.
# iptables -F INPUT
Ví dụ 4: Xóa dòng rule thứ 2 trong chain INPUT.
# iptables -D INPUT 2
Ví dụ 5: Thay đổi rule mặc định cho chain INPUT là ACCEPT.
# iptables –P INPUT ACCEPT
Ví dụ 6: Firewall chấp nhận cho bất kì gói tin nào có giao thức TCP đi vào interface eth0 đến địa chỉ 192.168.1.10 .
# iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.10 -p tcp -j ACCEPT
Ví dụ 7: Firewall chấp nhận gói tin nào có giao thức TCP được định tuyến khi nó đi vào interface eth0 và đi ra interface eth1 để đến đích 172.28.2.2 với port nguồn bắt
Ví dụ 9: Firewall chấp nhận gói tin có giao thức TCP từ bất kì địa chỉ nào đi vào interface eth0 đến địa chỉ 172.28.24.195 qua interface eth1, source port từ 1024 đến 65535 và destination port là 8080 và 433.
# iptables -A FORWARD -s 0/0 -i eth0 -d 172.28.24.195 -o eth1 -p tcp --sport 1024:65535 -m multiport --dport 8080,433 -j ACCEPT
Khi gói dữ liệu được nhận trở lại từ 172.28.2.2, thay vì mở các port nguồn và đích, bạn chỉ việc cho phép dùng kết nối cũ đã thiết lập bằng cách dùng tham số -m state và --state ESTABLISHED.
# iptables -A FORWARD -d 0/0 -i eth1 -s 172.28.2.2 -o eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT