Tin Tức
Buy VPS Hong Kong, VPS Taiwan, VPS Vietnam - Asisa VPS Unlimited bandwidth at unbelievably low prices. Cho thuê VPS Hong Kong, Taiwan, Vietnam giá tốt rẻ nhất, không giới hạn băng thông, IP Hong Kong, IP China, IP Viet Nam
Những lệnh thông dụng trên iptables bạn nên biết
Những lệnh thông dụng trên iptables bạn nên biết
Iptables là Firewall được cấu hình và hoạt động trên nền Console rất nhỏ và tiện dụng, Iptables do Netfilter Organiztion viết ra để tăng tính năng bảo mật trên hệ thống Linux.
Iptables cung cấp các tính năng sau:
- Tích hợp tốt với kernel của Linux.
- Có khả năng phân tích package hiệu quả.
- Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header.
- Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống.
- Cung cấp kỹ thuật NAT.
- Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DDoS.
Dưới đây là một số lệnh thông dụng bạn nên biết khi sử dụng Iptables:
1. Xóa các iptable rules hiện tại:
Trước khi thiết lập các Rules mới, ta sẽ xóa hết các rules hiện tại và mặc định. Để làm điều này ta sử dụng lệnh sau:
iptables -F
(hoặc)
iptables –flush
2. Chặn truy cập từ một địa chỉ IP đặc biệt
Đây là câu lệnh rất căn bản giúp bạn chặn (block) một địa chỉ IP xác định, không cho IP đó gửi hoặc nhận bất kỳ một gói dữ liệu nào tới VPS hoặc Server. Bạn thay đổi “x.x.x.x” trong ví dụ dưới thành địa chỉ IP bạn muốn block.
BLOCK_THIS_IP=”x.x.x.x”
iptables -A INPUT -s “$BLOCK_THIS_IP” -j DROP
Dòng lệnh trên giúp bạn block tạm thời IP nếu phát hiện những hành động lạ từ IP đó như DDoS hoặc Flood site bạn… trong log files.
Bạn cũng có thể block TCP traffic vào etho cho IP này bằng lệnh dưới.
iptables -A INPUT -i eth0 -s “$BLOCK_THIS_IP” -j DROP
iptables -A INPUT -i eth0 -p tcp -s “$BLOCK_THIS_IP” -j DROP
3. Cho phép tất cả các kết nối tới VPS/Server qua SSH
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
4. Chỉ cho phép truy cập SSH từ một địa chỉ IP xác định
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
5. Cho phép truy cập cả http và https
Rules dưới cho phép tất cả các truy cập tới cổng 80 (http)
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
Rules dưới cho phép tất cả các truy cập tới cổng 443 (https)
iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 443 -m state –state ESTABLISHED -j ACCEPT
6. Cho phép SSH ra ngoài VPS/Server
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
7. Cho phép SSH ra ngoài VPS/Server tới 1 địa chỉ IP cụ thể
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
8. Cho phép kết nối https ra ngoài
iptables -A OUTPUT -o eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 443 -m state –state ESTABLISHED -j ACCEPT
9. Load Balance cho website
Bạn có thể thiết lập load balance cho truy cập tới website bằng cách sử dụng iptables firewall rules.
Cái này sử dụng phần mở rộng iptables nth.Ví dụ đặt chế độ cân bằng tải cho truy cập https tới 3 đại chỉ IP. The following example load balances the HTTPS traffic to three different ip-address.
iptables -A PREROUTING -i eth0 -p tcp –dport 443 -m state –state NEW -m nth –counter 0 –every 3 –packet 0 -j DNAT –to-destination 192.168.1.101:443
iptables -A PREROUTING -i eth0 -p tcp –dport 443 -m state –state NEW -m nth –counter 0 –every 3 –packet 1 -j DNAT –to-destination 192.168.1.102:443
iptables -A PREROUTING -i eth0 -p tcp –dport 443 -m state –state NEW -m nth –counter 0 –every 3 –packet 2 -j DNAT –to-destination 192.168.1.103:443
11. Cho phép Ping tới VPS/Server
iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
12. Cho phép Ping ra ngoài VPS/Server
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
13. Cho phép Loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
14. Cho phép Internal Network to External network.
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
15. Cho phép outbound DNS
iptables -A OUTPUT -p udp -o eth0 –dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 –sport 53 -j ACCEPT
16. Cho phép kết nối NIS
Nếu bạn sử dụng NIS để quản lý các tài khoản người dùng (user), bạn nên cho phép kết nối NIS. Mặc dù kết nối SSH đã cho phép nhưng nếu chúng ta không cho phép NIS kết nối như tới ypbind thì người dùng cũng không thể đăng nhập.
rpcinfo -p | grep ypbind
Bây giờ ta cho phép tất các kết nối tới cổng 111, congr này được sử dụng bởi ypblid.
iptables -A INPUT -p tcp –dport 111 -j ACCEPT
iptables -A INPUT -p udp –dport 111 -j ACCEPT
iptables -A INPUT -p tcp –dport 853 -j ACCEPT
iptables -A INPUT -p udp –dport 853 -j ACCEPT
iptables -A INPUT -p tcp –dport 850 -j ACCEPT
iptables -A INPUT -p udp –dport 850 -j ACCEPT
17. Cho phép Rsync từ địa chỉ IP cụ thể
iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 –dport 873 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 873 -m state –state ESTABLISHED -j ACCEPT
18. Chỉ cho phép kết nối tớ MSQL từ địa chỉ cụ thể
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 –dport 3306 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 3306 -m state –state ESTABLISHED -j ACCEPT
19. Cho phép gửi email
iptables -A INPUT -i eth0 -p tcp –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 25 -m state –state ESTABLISHED -j ACCEPT
20. Cho phép IMAP and IMAPS
Cho phép IMAP/IMAP2
iptables -A INPUT -i eth0 -p tcp –dport 143 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 143 -m state –state ESTABLISHED -j ACCEPT
Cho phép IMAPS
iptables -A INPUT -i eth0 -p tcp –dport 993 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 993 -m state –state ESTABLISHED -j ACCEPT
21. Chi phép POP3 và POP3S
Cho phép POP3.
iptables -A INPUT -i eth0 -p tcp –dport 110 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 110 -m state –state ESTABLISHED -j ACCEPT
Chi phép POP3S
iptables -A INPUT -i eth0 -p tcp –dport 995 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 995 -m state –state ESTABLISHED -j ACCEPT
22. Ngăn chặn tấn công DDOS
iptables -A INPUT -p tcp –dport 80 -m limit –limit 25/minute –limit-burst 100 -j ACCEPT
Giải thích:
-m limit: This uses the limit iptables extension
–limit 25/minute: cho phép 25 kết nối tới trong 1 phút
–limit-burst 100: This value indicates that the limit/minute will be enforced only after the total number of connection have reached the limit-burst level.
23. Chuyển kết nối tới cổng khác
Với cách này bạn sẽ chuyển tất cả các kết nối từ cổng 442 sang cổng 22. Có nghĩa là bạn có thể truy cập SSH cả cổng 442 và 22.
iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 –dport 422 -j DNAT –to 192.168.102.37:22
Tiếp theo bạn cho phép các kết nối tới cổng 422
iptables -A INPUT -i eth0 -p tcp –dport 422 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 422 -m state –state ESTABLISHED -j ACCEPT
24. Đặt cấu hình Chain mặc định
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
Thế Giới Số chúc bạn cài đặt thành công và sử dụng VPS hiệu quả.
” Thế Giới Số – Nhà cung cấp HOSTING, VPS, CLOUD, SERVER chuyên nghiệp tại Việt Nam”
1 1 0 0 0 0
