Cấu hình rules firewall Iptables (Phần 5)

1.Mô hình

  • Client1, Client2, WebServer và Firewall cài hệ điều hành Ubuntu Server 16.04.
  • Cấu hình iptables tại Firewall.
  • Trên WebServer, cài Web server (apache2) lắng nghê trên port 80.

2.Mục đích

  • Mặc định, DROP INPUT.
  • Mặc định, ACCEPT OUTPUT.
  • Mặc định, DROP FORWARD.
  • ACCEPT Established Connection.
  • FORWARD gói tin đến port 80 trên ens33 sang port ens38 và đến port 80 trên Webserver.
  • Cho phép 1 máy (Client1) trong dải 10.10.20.0/24 quản trị Webserver.
  • Cho phép các máy trong dải 10.10.20.0/24 kết nối ra Internet.

3.Cấu hình

ACCEPT Established Connection.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Tạo chain default DROP INPUT, ACCEPT OUTPUT, DROP FORWARD.

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

FORWARD gói tin đến port 80 trên ens33 sang port ens38 và đến port 80 trên Webserver.

iptables -A FORWARD -i ens33 -o ens38 -p tcp -d 10.10.10.51 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i ens33 -p tcp -d 172.16.69.11 --dport 80 \
	-j DNAT --to-destination 10.10.10.51
iptables -t nat -A POSTROUTING -o ens38 -p tcp -d 10.10.10.51 --dport 80 \
	-j SNAT --to-source 10.10.10.11

Cho phép 1 máy (Client1) trong dải 10.10.20.0/24 quản trị Webserver.

iptables -A FORWARD -m state --state NEW -i ens39 -o ens38 -p tcp -s 10.10.20.101 -d 10.10.10.51 \
	--dport 22 -j ACCEPT

Cho phép các máy trong dải 10.10.20.0/24 kết nối ra Internet.

iptables -A FORWARD -m state --state NEW -i ens39 -o ens33 -j ACCEPT
iptables -t nat -A POSTROUTING -o ens33 -s 10.10.20.0/24 \
	-j SNAT --to-source 172.16.69.11

4. Kết quả

Check client ping được đến dải mang internet

root@client01:~# ping 172.16.69.1
PING 172.16.69.1 (172.16.69.1) 56(84) bytes of data.
64 bytes from 172.16.69.1: icmp_seq=1 ttl=63 time=1.17 ms
64 bytes from 172.16.69.1: icmp_seq=2 ttl=63 time=1.15 ms
64 bytes from 172.16.69.1: icmp_seq=3 ttl=63 time=1.11 ms
64 bytes from 172.16.69.1: icmp_seq=4 ttl=63 time=1.13 ms
^C
--- 172.16.69.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 1.116/1.145/1.172/0.021 ms

Related posts

Leave a Comment