Header Page of 113 Trường Đại học Bách Khoa Hà Nội Viện CNTT-TT Quản trị mạng Đề tài: Tìm hiểu tường lửa Netfilter Thành viên: MSSV: Đậu Văn Thắng Vũ Văn Hưng 20112678 20111656 Giáo viên hướng dẫn: Trần Hoàng Hải Hà Nội : 10/07/2015 Footer Page of 113 Header Page of 113 Nội Dung I Tìm hiểu firewall Giới thiệu Các tính bảo vệ 2.1 Bảo vệ máy tính cá nhân 2.2 Thiết lập phạm vi an ninh mạng 3 Các hoạt động Firewall 3.1 Quản lý kiểm soát luồng liệu mạng 3.2 Xác thực quyền truy cập 3.3 Hoạt động thiết bị trung gian 3.4 Bảo vệ tài nguyên 3.5 Ghi nhận báo cáo kiện Firewall mềm 5 Firewall cứng 6 Các loại Firewall 6.1 IP Packet Filtering – Bộ lọc gói tin 6.2 Circuit-Level Gateway 6.3 Application Level Firewalls - Cổng ứng dụng Cấu hình Firewall 10 II Tìm hiểu Netfilter 12 Định nghĩa 12 Cơ sở Netfilter 13 Lịch sử 14 Các module Netfilter 14 4.1 Giới thiệu Iptables 15 4.2 Tìm hiểu Nat (Network address translation) 16 4.3 Tìm hiểu Connection Tracking 17 Footer Page of 113 Header Page of 113 I Tìm hiểu firewall Giới thiệu - Firewall( Tường lửa) rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn người dùng mạng Internet truy cập thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên truy nhập thông tin bảo mật nằm mạng nội - Là thiết bị phần cứng phần mềm hoạt động môi trường máy tính nối mạng để ngăn chặn số liên lạc bị cấm sách an ninh cá nhân hay tổ chức Các tính bảo vệ 2.1 Bảo vệ máy tính cá nhân - Cách gọi khác “Tường lửa bảo vệ” nhằm bảo vệ cho máy tính cá nhân hay mạng cục bộ, tránh xâm nhập, công từ bên 2.2 Thiết lập phạm vi an ninh mạng - Hay gọi “Tường lửa ngăn chặn” thường nhà cung cấp dịch vụ Internet thiết lập có nhiệm vụ ngăn chặn không cho máy tính truy cập số trang web hay máy chủ định, thường dùng với mục đích kiểm duyệt Internet Các hoạt động Firewall 3.1 Quản lý kiểm soát luồng liệu mạng Việc mà tất firewall có quản lý kiểm soát luồn liệu mạng, firewall kiểm tra gói tin giám sát kết nối thực sau lọc kết nối dựa kết kiểm tra gói tin kết nối giám sát Footer Page of 113 Header Page of 113 – Packet inspection (kiểm tra gói tin) trình chặn xử lý liệu gói tin để xác định xem phép hay không phép qua firewall Kiểm tra gói tin dựa vào thông tin sau: - Địa IP nguồn - Port nguồn - Địa IP đích - Port đích - Giao thức IP - Thông tin header (sequence numbers, checksums, data flags, payload information…) – Connections state: Khi hai TCP/IP host muốn giao tiếp với nhau, chúng cần thiêt lập số kết nối với Các kết nối phục vụ hai mục đích Thứ nhất, dùng để xác thực thân host với Friewall dùng thông tin kết nối để xác định kết nối phép kết nối không phép.Thứ hai, kết nối dùng để xác định cách thức mà hai host liên lạc với (dùng TCP hay dùng UDP…) – Stateful Packet Inspection (giám sát gói tin theo trạng thái): Statefull packet inspection kiểm tra gói tin bao gồm cấu trúc, liệu gói tin … mà kiểm tra trạng thái gói tin 3.2 Xác thực quyền truy cập - Firewall xác thực quyền truy cập nhiều cấu xác thực khác Thứ nhất, firewall yêu cầu username password người dùng người dùng truy cập (thường biết đến extended authentication xauth) Sau firewall xác thực xong người dùng, firewall cho phép người dùng thiết lập kết nối sau không hỏi username password lại cho lần truy cập sau (thời gian firewall hỏi lại username password phụ thuộc vào cách cấu hình người quản trị) Thứ hai, firewall xác thực người dùng certificates public key Thứ ba, firewall dùng pre-shared keys (PSKs) để xác thực người dùng Footer Page of 113 Header Page of 113 3.3 Hoạt động thiết bị trung gian Khi user thực kết nối trực tiếp bên đối mặt với vô số nguy bảo mật bị virus công, nhiễm mã độc hại… việc có thiết bị trung gian đứng thay mặt user bên để thực kết nối bên cần thiết để đảm bảo an toàn Firewall cấu hình để thực chức firewall ví proxy trung gian 3.4 Bảo vệ tài nguyên Nhiệm vụ quan trọng firewall bảo vệ tài nguyên khỏi mối đe dọa bảo mật Việc bảo vệ thực cách sử dụng quy tắc kiểm soát truy cập, kiểm tra trạng thái gói tin, dùng application proxies kết hợp tất để bảo vệ tài nguyên khỏi bị truy cập bất hợp pháp hay bị lạm dụng Tuy nhiên, firewall giải pháp toàn diện để bảo vệ tài nguyên 3.5 Ghi nhận báo cáo kiện Ta ghi nhận kiện firewall nhiều cách hầu hết firewall sử dụng hai phương pháp syslog proprietaty logging format Bằng cách sử dụng hai phương pháp này, dễ dàng báo cáo kiện xẩy hệ thống mạng Firewall mềm - - Là firewall cài đặt hệ điều hành Firewall mềm bao gồm sản phẩm SunScreen firewall, IPF, Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall mềm thường đảm nhận nhiều vai trò firewall cứng, đóng vai trò DNS server hay DHCP server Ưu điểm: việc thay đổi nâng cấp thiết bị phần cứng tương đối dễ dàng nhanh chóng Nhược điểm: cài đặt hệ điều hành khả có lỗ hổng hệ điều hành xẩy Khi lỗ hổng phát cập nhật vá lỗi, sau cập nhật vá lỗi cho hệ điều hành firewall không hoạt động bình thường trước, cần tiến hành cập nhật vá cho firewall từ nhà cung cấp sản phẩm firewall Footer Page of 113 Header Page of 113 - Do hệ điều hành mà firewall mềm chạy không thiết kế tối ưu cho firewall nên firewall mềm có hiệu suất thấp firewall cứng Firewall cứng – Là firewall tích hợp sẵn phần cứng chuyên dụng, thiết kế dành riêng cho firewall Các sản phẩm firewall cứng đáng ý Cisco PIX, NetScreen firewall, SonicWall Appliaces, WatchGuard Fireboxes, Nokia firewall… - Ưu điểm: ● Trong nhiều trường hợp firewall cứng cung cấp hiệu suất tốt so firewall mềm hệ điều hành firewall cứng thiết kế để tối ưu cho firewall ● Lợi ích điển hình sử dụng firewall cứng hiệu suất tổng thể tốt firewall mềm, tính bảo mật nâng cao, tổng chi phí thấp so với firewall mềm - Nhược điểm: ● Firewall cứng không linh hoạt firewall mềm ( thêm chức năng, thêm quy tắc firewall mềm) ● Khả tích hợp thêm chức bổ sung khó khăn firewall mềm, chẳng hạn chức kiểm soát thư rác firewall mềm cần cài đặt chức ứng dụng firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức Các loại Firewall 6.1 IP Packet Filtering – Bộ lọc gói tin - Bộ lọc gói tin cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thỏa mãn số rules hay không Các rules dựa thông tin packet header bao gồm thông tin sau: ❖ Địa IP nguồn (IP Source Address) ❖ Địa IP đích (IP Destination Address) ❖ Protocol (TCP, UDP, ICMP, IP tunnel) Footer Page of 113 Header Page of 113 ❖ TCP/UDP source port ❖ TCP/UDP destination port ❖ Dạng thông báo ICMP (ICMP message type) ❖ Cổng gói tin đến (Incomming interface of packet) ❖ Cổng gói tin (Outcomming interface of packet) Packet filtering router Nếu rules lọc gói thỏa mãn packet chuyển qua firewall, không packet bị bỏ Nhờ mà firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống mạng nội từ địa không cho phép Ngoài ra, việc kiểm soát cổng làm cho firewall có khả cho phép số loại kết nối định vào loại máy chủ dịch vụ (SSH, SMTP, FTP…) phép chạy hệ thống mạng cục ● ưu điểm: - Phương pháp dùng lọc gói có chi phí thấp chế lọc gói có sẵn router - Bộ lọc gói suốt với người sử dụng nên không yêu cầu người sử dụng phải thao tác ● Nhược điểm - Việc định nghĩa chế độ lọc gói việc phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ internet, dạng packet header - Do làm việc dựa header packet nên lọc không kiểm soát nội dung thông tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu Footer Page of 113 Header Page of 113 6.2 Circuit-Level Gateway Circuit Level Gateway – cổng vòng – chức đặc biệt thực cổng ứng dụng Cổng vòng đơn giản chuyển tiếp kết nối TCP mà không thực hành động xử lý hay lọc gói Hình sau minh họa hành động sử dụng kết nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục telnet Cổng vòng làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên kết nối xuất từ hệ thống firewall nên che dấu thông tin mạng nội Circuit Level Gateway - Cổng vòng Cổng vòng thường sử dụng cho kết nối Ưu điểm lớn Bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến cổng vòng cho kết nối Điều làm cho hệ thống firewall dễ dàng sử dụng cho người dùng mạng nội muốn trực tiếp truy câp tới dịch vụ internet, cung cấp chức bảo vệ mạng nội từ công bên 6.3 Application Level Firewalls - Cổng ứng dụng Đây loại firewall thiết kế dể tăng cường chức kiểm soát loại dịch vụ, giao thức truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi proxy service Proxy service code đặc biệt cài đặt cổng (gateway) cho ứng dụng Nếu người quản trị mạng không cài đặt proxy service cho ứng Footer Page of 113 Header Page of 113 dụng đó, dịch vụ tương ứng không cung cấp chuyển thông tin qua firewall Ngoài ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị cho chấp nhận từ chối đặc điểm khác Application gateway Một cổng ứng dụng thường coi Bastion host thiết kế đặt biệt để chống lại công từ bên Những biện pháp đảm bảo an ninh Bastion host là: – Bastion host chạy version an toàn (secure version) phần mềm hệ điều hành (Operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào hệ điều hành (Operating system) đảm bảo tích hợp firewall – Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt Bastion host, đơn giản dịch vụ không cài đặt, bị công Thông thường, số giới hạn ứng dụng cho dịch vụ telnet, DNS, FTP, SMTP xác thực user cài đặt Bastion host – Bastion host yêu cầu nhiều mức độ khác ví dụ username password hay smart card Mỗi proxy cài đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Footer Page of 113 Header Page 10 of 113 Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết liệu mạng qua Điều có nghĩ lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy độc lập với proxy khác Bastion host Điều cho phép dễ dàng cài đặt proxy hay tháo gỡ proxy Ưu điểm: – Cho phép người quản trị hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy cập dịch vụ – Cổng ứng dụng cho phép kiểm tra độ xác thực tốt có nhậy ký ghi chép lại thông tin truy cập hệ thống – Rule lọc cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc gói Nhược điểm: – Cần phải có cấu hình máy user để user truy cập vào dịch vụ proxy Ví dụ telnet Cấu hình Firewall - Mô tả cho việc cấu hình Firewall Ubuntu B1: Tường lửa mặc định bị vô hiệu hóa Để kích hoạt tường lửa, nhập câu lệnh sau từ cửa sổ lệnh: sudo ufw enable Footer Page 10 of 113 Header Page 11 of 113 B2: Đặt luật cho Firewall Giả sử ta muốn cho phép lưu lượng SSH qua cổng 22 Để làm điều này, sử dụng số câu lệnh sau: sudo ufw allow 22 (Cho phép lưu lượng UDP TCP) sudo ufw allow 22/tcp (Chỉ cho phép lưu lượng TCP) sudo ufw allow ssh (Kiểm tra file /etc/services hệ thống để tìm cổng mà SSH yêu cầu cho phép Nhiều service phổ biến liệt kê file này) - để chặn lưu lượng SSH mạng, gõ câu lệnh sau: sudo ufw reject out ssh Để xem tất luật tạo ra, ta sử dụng câu lệnh sau: sudo ufw status Footer Page 11 of 113 Header Page 12 of 113 Để xóa luật, thêm từ khóa delete trước luật Ví dụ như, để dừng hành động chặn lưu lượng SSH mạng, sử dụng câu lệnh sau: sudo ufw delete reject out ssh Để đặt lại tường lửa trạng thái mặc định, sử dụng câu lệnh: sudo ufw reset II Tìm hiểu Netfilter Định nghĩa Netfilter khung bên nhân Linux giúp cung cấp linh hoạt cho hoạt động mạng khác để phù hợp với xử lý khác Netfilter có lựa chọn như: packet filtering, network address translation, port translation Các phương thức Netfilter cung cấp hướng dẫn cho packets qua mạng việc tiến hành ngăn chặn packet phạm vi dễ bị ảnh hưởng mạng máy tính Netfilter đại diện cho tập hooks mạng máy tính (trong lập trình hooks bao gồm loạt kỹ thuật sử dụng để thay đổi tăng cường hành vi hệ điều hành, ứng dụng, thành phần phần mềm khác cách chặn chức gọi, tin nhắn hay kiện thành phần phần mềm) cho phép xác định modules để đăng ký hàm “callback” với ngăn xếp kernel's network (hàm callback hàm người dùng triệu gọi hàm khác hay thủ tục Footer Page 12 of 113 Header Page 13 of 113 tiến trình hoạt động, hàm viết để triệu gọi hàm callback đối số phải kiểu trỏ cho phép khai báo hàm callback) Sau mô hình một chuỗi hooks Phần bên trái nơi mà gói Packets tới: qua kiểm tra đắn đơn giản (chẳng hạn IP checksum), chúng qua netfilter framework hook NF_IP_PRE_ROUTING [1] Sau chúng vào đoạn mã chuyển tiếp, chúng định gắn vào interface khác hay xử lý Đoạn mã chuyển tiếp tiến hành xóa packets Nếu gắn vào interface ban đầu, netfilter framework gọi tới hook NF_IP_LOCAL_IN [2], trước qua để xử lý Nếu gắn vào interface khác, netfilter framework gọi tới hook NF_IP_FORWARD [3] Packet sau qua netfilter hook cuối cùng, hook NF_IP_POST_ROUTING [4], trước đưa vào chuỗi lần Hook NF_IP_LOCAL_OUT [5] gọi cho packets tạo địa phương Ở bạn thấy định tuyến sau hook gọi: thực tế đoạn mã chuyển tiếp gọi (để cấu hình cho IP address số IP options) Nếu bạn muốn thay đổi việc chuyển tiếp, bạn phải thay đổi trường ‘skb  dst’ bạn, thực mã NAT Cơ sở Netfilter Hiện có số ví dụ netfilter cho IPv4, bạn nhìn thấy hook kích hoạt Nó chất netfilter Footer Page 13 of 113 Header Page 14 of 113 Kernel modules đăng ký để lắng nghe tất hooks Một module mà đăng ký function phải xác định quyền ưu tiên function với hook; sau netfilter hook gọi từ đoạn mã networking core, module đăng ký gọi thứ tự quyền ưu tiên, tự thao tác với packet Module nói cho netfilter thực năm điều sau: NF_ACCEPT: tiếp tục chuyển đổi bình thường NF_DROP: xóa packets, không tiếp tục chuyển đổi NF_STOLEN: lấy gói tin không chuyển tiếp NF_QUEUE: hàng đợi packet (thường dùng xử lý cho userspace) NF_REPEAT: gọi đến hook lần Các phần khác netfilter (xử lý hàng đợi packet) đề cập phần sau Lịch sử Rusty Russell bắt đầu dự án netfilter/iptables vào năm 1988 Ông tác giả dự án trước “ipchains” Khi dự án phát triển, ông tìm thấy team gọi simply coreteam vào năm 1999 Phần mềm tạo sử dụng “GNU Generar Public License” vào năm 2000 nhập vào phiên 2.3.x Linux kernel mainline Vào tháng năm 2003 Harald Welte trở thành người điều khiển coreteam Vào tháng năm 2004, dự án bị đổ vỡ việc phân phối phần mềm nhúng routers mà không tuân thủ quy tắc GPL Vào tháng 12 năm 2007 Patrick McHardy, người rời khỏi dự án năm trước trở thành người điều khiển coreteam “Trước iptables, gói phần mềm chủ yếu cho việc tạo tường lửa Linux ipchains Linux kernel 2.2.x ipfwadm Linux kernel 2.0.x, mà dựa ipfw BSD Cả hai ipchains ipfwadm thay đổi mã mạng để họ thao tác gói liệu, Linux kernel thiếu khuôn khổ gói điều khiển chung đời Netfilter.” Các module Netfilter Hiện Netfilter đưa module để sử dụng là:  Iptables  Nat  Connection tracking Sau sâu vào chức module Footer Page 14 of 113 Header Page 15 of 113 4.1 Giới thiệu Iptables Iptables Firewall cấu hình hoạt động Console nhỏ tiện dụng, Iptables Netfilter Organiztion viết để tăng tính bảo mật hệ thống Linux Iptables cung cấp tính sau: Tích hợp tốt với kernel Linux Có khả phân tích package hiệu Lọc package dựa vào MAC số cờ hiệu TCP Header Cung cấp chi tiết tùy chọn để ghi nhận kiện hệ thống Cung cấp kỹ thuật NAT Có khả ngăn chặn số chế công theo kiểu DoS Để cài đặt Iptables Linux ta sử dụng câu lệnh sau: Trong Ubuntu: $ apt-get install ufw Trong RedHat: $ yum install iptables Một gói tin vào Iptables qua bảng xây dựng sẵn là: _ Mangle: chịu trách nhiệm thay đổi bits chất lượng dịch vụ TCP header TOS (type of service), TTL (time to live), MARK _ Filter: chịu trách nhiệm lọc gói liệu Nó gồm có quy tắc nhỏ (chain) để giúp bạn thiết lập nguyên tắc lọc gói: Forward chain : lọc gói đến đến server khác Input chain : lọc gói vào server Output chain: lọc gói khỏi server Chain gồm nhiều luật (rule) để thao tác với gói liệu Rule ACCEPT (chấp nhận gói liệu), DROP (thả gói), REJECT (loại bỏ gói) tham chiếu (reference) đến chain khác _ NAT: gồm có loại: Pre-routing chain: thay đổi địa đến gói liệu cần thiết Post-routing chain: thay đổi địa nguồn gói liệu cần thiết Trong Linux ta có mô tả iptables command Switch sau: Iptables command Switch -t -j Footer Page 15 of 113 Mô tả Chỉ định bảng cho iptables bao gồm: filter, nat, mangle tables Nhảy đến target chain packet phù hợp luật Header Page 16 of 113 -A -F -p -s -d -i -o Thêm luật vào cuối iptables chains Xóa tất luật bảng lựa chọn Mô tả giao thức bao gồm: icmp, tcp, udp all Chỉ định địa nguồn Chỉ định địa đích Chỉ định “input” interface nhận packet Chỉ định “output” interface chuyển packet 4.2 Tìm hiểu Nat (Network address translation) Nat dùng để chuyển đổi địa mạng Trong Netfilter có loại Nat là: Dynamic Nat: NAT động kĩ thuật chuyển đổi địa IP NAT (Network Address Translation) Các địa IP nội chuyển sang IP NAT sau: NAT Router đảm nhận việc chuyển dãy IP nội 192.168.0.x sang dãy IP 203.162.2.x Khi có gói liệu với IP nguồn 192.168.0.200 đến router, router đổi IP nguồn thành 203.162.2.200 sau gởi Quá trình gọi SNAT (SourceNAT, NAT nguồn) Router lưu liệu bảng gọi bảng NAT động Ngược lại, có gói từ liệu từ gởi từ vào với IP đích 203.162.2.200, router vào bảng NAT động để đổi địa đích 203.162.2.200 thành địa đích 192.168.0.200 Quá trình gọi DNAT (Destination-NAT, NAT đích) Liên lạc 192.168.0.200 203.162.2.200 hoàn toàn suốt (transparent) qua NAT router NAT router tiến hành chuyển tiếp (forward) gói liệu từ 192.168.0.200 đến 203.162.2.200 ngược lại Đóng giả địa IP (masquerade) Đây kĩ thuật khác NAT NAT Router chuyển dãy IP nội 192.168.0.x sang IP 203.162.2.4 cách dùng số hiệu cổng (port-number) khác Chẳng hạn có gói liệu IP với nguồn 192.168.0.168:1204, đích 211.200.51.15:80 đến router, router đổi nguồn thành 203.162.2.4:26314 lưu liệu vào bảng gọi bảng masquerade động Khi có gói liệu từ vào với nguồn 221.200.51.15:80, đích 203.162.2.4:26314 đến router, router vào bảng masquerade động để đổi đích từ 203.162.2.4:26314 thành 192.168.0.164:1204 Liên lạc máy mạng LAN với máy khác bên hoàn toàn suốt qua router Footer Page 16 of 113 Header Page 17 of 113 4.3 Tìm hiểu Connection Tracking Một điều quan trọng việc xây dựng Netfilter framework việc theo dấu kết nối Theo dấu kết nối cho phép kernel giữ việc theo dấu cho tất kết nối logic sessions NAT dựa vào thông tin để dịch liệu liên quan theo cách iptables sử dụng thông tin để thực tường lửa Mỗi kết nối Netfilter xác định trường (layer-3 protocol, source address, destination address, layer-4 protocol, layer-4 key) Layer-4 key phụ thuộc vào phương thức vận chuyển, cho TCP/UDP số cổng, cho turnels thể turnel ID Để kiểm tra tất trường hợp cổng TCP, packets phải chống phân mảnh DEMO Netfilter Ở xem xét cấu hình Iptables để thực việc cài đặt network Ubuntu Chúng ta sử dụng lệnh: sudo iptables –L để xem chi tiết thông tin bảng Iptables Nếu bảng Iptables chưa kích hoạt hiển thị: Còn kích hoạt hiển thị thông tin lệnh, lựa chọn địa nguồn, địa đích Sau ví dụ Iptables kích hoạt: Footer Page 17 of 113 Header Page 18 of 113 Sau thực số câu lệnh để cấu hình tường lửa Linux Chúng ta có địa local network 10.0.0.8/8 firewall sử dụng card mạng, kết nối với internet card mạng eth0, local network eth1 Ta có tập lệnh cấu hình sau: Chố ng Syn Flooding: sudo iptables -A FORWARD -p tcp —syn -m limit —limit 1/s -j ACCEPT Chố ng Scan Port: sudo iptables -A FORWARD -p tcp —tcp-flags SYN,ACK,FIN,RST RST -m limit —limit 1/s -j ACCEPT Chố ng Ping of Death: sudo iptables -A FORWARD -p icmp —icmp-type echorequest -m limit —limit 1/s -j ACCEPT Cho các packet đã thiế t lâ ̣p kế t nố i tiế p tu ̣c qua firewall: sudo iptables -A FORWARD -m state —state ESTABLISHED,RELATED -j ACCEPT Chố ng giả ma ̣o điạ chỉ nô ̣i bô ̣ từ bên ngoài để xâm nhâ ̣p: sudo iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP Chuyể n đổ i điạ chỉ từ ma ̣ng nô ̣i bô ̣ bên ngoài (SNAT): sudo iptables -t nat -A POSTROUTING -o eth0 -j SNAT —to 203.162.0.10 Chuyể n đổ i điạ chỉ của web server từ bên ngoài vào ma ̣ng nô ̣i bô ̣ (DNAT): sudo iptables -t nat -A PREROUTING -d 203.162.0.9 -p tcp —dport 80 -j DNAT —to 10.0.0.10 Thiế t lâ ̣p Transparent proxy bằ ng cách chuyể n hướng port 80 đế n server squid proxy 10.0.0.9: sudo iptables -t nat -A PREROUTING -p tcp —dport 80 -j DNAT —to 10.0.0.9:3128 Chỉ cho máy tiń h ma ̣ng nô ̣i bô ̣ có điạ chỉ card ma ̣ng 00:C7:8F:72:14 ra: sudo iptables -A FORWARD -m state —state NEW -m mac —mac-source 00:C7:8F:72:14 -j ACCEPT 10 Chức ưu tiên thông lươ ̣ng đố i với truy câ ̣p web: sudo iptables -A PREROUTING -t mangle -p tcp —sport 80 -j TOS —set-tos MaximizeThroughput Sau thực lệnh sử dụng lệnh sudo iptables –L ta có kết sau: Footer Page 18 of 113 Header Page 19 of 113 Footer Page 19 of 113  ... 4.2 Tìm hiểu Nat (Network address translation) 16 4.3 Tìm hiểu Connection Tracking 17 Footer Page of 113 Header Page of 113 I Tìm hiểu firewall Giới thiệu - Firewall( Tường. .. sau: sudo ufw delete reject out ssh Để đặt lại tường lửa trạng thái mặc định, sử dụng câu lệnh: sudo ufw reset II Tìm hiểu Netfilter Định nghĩa Netfilter khung bên nhân Linux giúp cung cấp linh... user để user truy cập vào dịch vụ proxy Ví dụ telnet Cấu hình Firewall - Mô tả cho việc cấu hình Firewall Ubuntu B1: Tường lửa mặc định bị vô hiệu hóa Để kích hoạt tường lửa, nhập câu lệnh sau