Cấu hình iptables rules (Phần 2)

1.Mô Hình

  • Client, Server cài hệ điều hành Ubuntu Server 16.04.
  • Cấu hình iptables tại Server

2.MỤc Đích

  • Mặc định, DROP INPUT.
  • Mặc định, ACCEPT OUTPUT.
  • Mặc định, DROP FORWARD.
  • ACCEPT Established Connection.
  • ACCEPT kết nối từ loopback.
  • ACCEPT kết nối Ping với 5 lần mỗi phút từ mạng LAN.
  • ACCEPT kết nối SSH từ trong mạng LAN.
  • ACCEPT Outgoing gói tin thông qua Server từ mạng LAN (10.10.10.0/24) và nat địa chỉ nguồn của gói tin.

3.Cấu Hình

Trên Server Kích hoạt iptables fordward packet, cần sửa file /etc/sysctl.conf:

net.ipv4.ip_forward = 1

Chạy lệnh sysctl -p /etc/sysctl.conf để kiểm tra cài đặt.

Sau đó:

/etc/init.d/procps restart

DROP INPUT, ACCEPT OUTPUT và DROP FORWARD:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

ACCEPT Established Connection.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

ACCEPT kết nối từ loopback:

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

ACCEPT kết nối Ping với 5 lần mỗi phút từ mạng LAN.

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/m --limit-burst 5 \
	-s 10.10.10.0/24 -d 10.10.10.11 -j ACCEPT

ACCEPT kết nối SSH từ trong mạng LAN:

iptables -A INPUT -p tcp -s 10.10.10.0/24 -d 10.10.10.11 --dport 22 -m state --state NEW -j ACCEPT

ACCEPT Outgoing gói tin qua Server từ network (10.10.10.0/24) và nat địa chỉ nguồn của gói tin.

iptables -A FORWARD -i ens38 -o ens33 -j ACCEPT
iptables -t nat -A POSTROUTING -o ens33 -s 10.10.10.0/24 -j SNAT --to-source 10.10.10.11

hoặc

iptables -A FORWARD -i ens38 -o ens33 -j ACCEPT
iptables -t nat -A POSTROUTING -o ens33 -s 10.10.10.0/24 -j MASQUERADE

Related posts

Leave a Comment