LAB IPTABLES 1. Mô hình thực hiện 2. Các bước thực hiện Bước 1: Đặt IP cho các thiết bị như mô hình Máy tính Địa chỉ XP 192.168.1.10 255.255.255.0 192.168.1.1 8.8.8.8 2003 192.168.2.10 255.255.255.0 192.168.2.1 8.8.8.8 Firewall IPtables Vmnet 1: 192.168.1.1 255.255.255.0 Vmnet 2: 192.168.2.2 255.255.255.0 Vmnet 8 – NAT: DHCP Bước 2: Kiểm tra IP đã đặt thành công - XP: - 2003: - Firewall IPtables: Chú ý: eth1 (vmnet 8) nhận IP động - Ping kiểm tra kết nối: + Firewall IPtables ping 8.8.8.8, XP và 2003: + XP và 2003 ping Firewall IPtables: + Giữa XP và 2003: kết quả như bên dưới XP ping 2003 không thành công. Bước 3: Cấu hình Web, FTP, DNS trên server 2003. Sinh viên tự thực hiện. Bước 4: Trong Bước 2 thì XP ping 2003 không thành công. Giải thích: - Kiểm tra bảng định tuyến của Firewall IPtables: + Bảng định tuyến đã có 2 lớp mạng là 192.168.1.0 và 192.168.2.0. + XP thuộc 192.168.1.0, còn 2003 thuộc 192.168.2.0. Trong trường hợp này thì bảng định tuyến đã có nhưng vẫn không ping được. Có thể là do IPtables là firewall mặc định của Linux đã chặn các gói tin. - Tắt Firewall: - Kiểm tra lại thì vẫn ping chưa được: - Nguyên nhân cuối cùng là do chưa bật tính năng định tuyến của Firewall: + Mở file cấu hình: + Tìm dòng như bên dưới, sửa 0 thành 1. + Lưu lại và khởi động lại dịch vụ network: - Kiểm tra lại thì XP ping 2003 thành công: - XP truy cap Web và FTP trên 2003: - Firewall ping 8.8.8.8 được. XP và 2003 ping 8.8.8.8 thì không được. Đơn giản là vì Firewall chưa cấu hình NAT. NAT cấu hình ở Bước 6. Bước 5: Bật lại Firewall, XP không ping được 2003 và cấu hình Firewall cho phép XP ping 2003. - Bật lại Firewall - Kiểm tra XP không ping được 2003. Nhưng thông báo không phải là “request time out” mà là “Destination…”, nghĩa là do Firewall chặn. - Cấu hình Firewall. Có 2 cách cấu hình. Cách 1 là tự định nghĩa chain. Cách 2 là dùng file cấu hình. Trong bài Lab này dùng cả 2 cách. Bước 5.1 Mở file cấu hình IPtables. Nghĩa là ở đây dùng cách 2. Bước 5.2 Xem nội dung file cấu hình Bước 5.4 Xóa hết nội dung của file như hình bên dưới. Bước 5.5 Lưu file cấu hình và khởi động lại dịch vụ Firewall Bước 5.6 XP ping 2003 thành công. Nhận xét: nếu file cấu hình trống thì nghĩa là Firewall cho phép tất cả. Có thể kiểm tra tương tự bằng cách truy cập Web và FTP trên 2003 từ XP. Bước 5.7 Mở lại file cấu hình và thêm vào câu lệnh như hình bên dưới. Lưu file cấu hình và khởi động lại Firewall. Bước 5.8 XP ping 2003 thành công. Vì Firewall chỉ cho phép ping từ XP sang 2003. Bước 5.9. Theo 5.8 thì XP ping được 2003. Theo cấu hình ở 5.7 thì Firewall chỉ cho phép XP ping qua 2003. Nhưng XP truy cập Web và FTP trên 2003 thành công. Vì sau dòng là trống nên mặc định Firewall cho phép truy cập. Bước 5.10 Có thể kiểm thử lại Bước 5.9 bằng cách DROP các lưu lượng ping từ XP sang 2003. Sau dòng DROP như hình bên dưới là trống nên Firewall vẫn cho phép Web và FTP. Chú ý là sau khi sửa file cấu hình thì cần phải khởi động lại dịch vụ Firewall. Lúc này XP không ping được 2003 nhưng vẫn truy cập Web và FTP. Sinh viên tự kiểm tra. Bước 5.11 Thêm dòng cấu hình như trong hình bên dưới. Chú ý là sau khi sửa file cấu hình thì cần phải khởi động lại dịch vụ Firewall. Lúc này kiểm tra lại thì XP không ping, không truy cập Web và không truy cập FTP thành công vào 2003. Sinh viên tự kiểm tra phần này. Nhận xét: - Nếu file cấu hình IPtables không có dòng nào thì Firewall cho phép tất cả. - Nếu file cấu hình IPtables có các dòng cấu hình thì Firewall sẽ đọc và xử lý theo thứ tự từ trên xuống. Khớp dòng nào là ngưng ngay ở dòng cấu hình đó. Bước 5.12 Nếu thay cấu hình như hình bên dưới thì XP cũng sẽ truy cập được bất cứ gì qua 2003 trong khi INPUT chỉ xét các gói tin đi vào Firewall. Trong các Bước 5.x ở trên thì dùng FORWARD, mà FORWARD là cho phép gói tin đi qua Firewall, XP qua 2003 là đi qua Firewall. Lý do vì khi XP truy cập qua 2003 là đi qua Firewall, cấu hình thì dùng INPUT, Firewall đọc các dòng lệnh từ trên xuống, đọc qua 2 dòng INPUT thấy không phải là FORWARD thì Firewall cho phép. Sinh viên tự kiểm chứng. Thậm chí khi sửa cấu hình như hình bên dưới thì XP vẫn truy cập 2003 thành công. Sinh viên tự kiểm chứng. Bước 6: Cấu hình NAT trên Firewall đảm bảo XP và 2003 kết nối internet thành công. - Xác định interface kết nối đến internet là eth1, card mạng nhận IP động từ Vmnet 8. - Cấu hình NAT bằng lệnh như trong hình bên dưới: ở đây dùng cách 1. - Kiểm tra kết quả cấu hình bằng cách dùng XP ping 8.8.8.8. Vậy là đã cấu hình NAT thành công. - Quan sát lại file cấu hình sẽ thấy thêm BẢNG NAT xuất hiện thêm. Bước 7: Các bạn sinh viên thực hiện thêm các yêu cầu sau đây. Sinh viên chú ý test từng câu. Câu 1. Cấu hình sao cho XP chỉ truy cập được Web trên 2003. (Nghĩa là cấm truy cập vào FTP trên 2003) Câu 2. Cấu hình sao cho cấm 2003 ping vào Firewall. Câu 3. Chấp nhận các packet vào cổng 80 trên card mạng nối xuống XP. -A INPUT -i eth0 –dport 80 -j ACCEPT Câu 4. Gửi gói TCP với cờ RST=1 cho các kết nối chỉ cho các IP từ 192.168.1.100 đến 192.168.1.115 trên cổng 80, card mạng đấu nối xuống XP -A INPUT -i eth1 -p tcp -s! 192.168.1.100-192.168.1.115 --dport 80 -j REJECT -reject-with tcp-reset Câu 5. Public Web từ server 2003 ra ngoài internet -A PREROUTING -d 192.168.232.147/24 -i eth3 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.10:80 Câu 6. Dùng iptables để chặn nmap và syn flood.