Các câu lệnh thường sử dụng nhất về IPtable Rules

May 6th, 2014 by No comments | Last Modified: May 6th, 2014

1. Xóa các iptable rules hiện tại:

Trước khi thiết lập các Rules mới, ta sẽ xóa hết các rules hiện tại và mặc định. Để làm điều này ta sử dụng lệnh sau:

iptables -F
(hoặc)
iptables –flush


2. Chặn truy cập từ một địa chỉ IP đặc biệt

Đây là câu lệnh rất căn bản giúp bạn chặn (block) một địa chỉ IP xác định, không cho IP đó gửi hoặc nhận bất kỳ một gói dữ liệu nào tới VPS hoặc Server. Bạn thay đổi “x.x.x.x” trong ví dụ dưới thành địa chỉ IP bạn muốn block.

BLOCK_THIS_IP=”x.x.x.x”
iptables -A INPUT -s “$BLOCK_THIS_IP” -j DROP

Dòng lệnh trên giúp bạn block tạm thời IP nếu phát hiện những hành động lạ từ IP đó như DDOS hoặc Flood site bạn… trong log files.

Bạn cũng có thể block TCP traffic vào etho cho IP này bằng lệnh dưới.

iptables -A INPUT -i eth0 -s “$BLOCK_THIS_IP” -j DROP
iptables -A INPUT -i eth0 -p tcp -s “$BLOCK_THIS_IP” -j DROP


3. Cho phép tất cả các kết nối tới VPS/Server qua SSH

iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT


4. Chỉ cho phép truy cập SSH từ một địa chỉ IP xác định

iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT


5. Cho phép truy cập cả http và https

Rules dưới cho phép tất cả các truy cập tới cổng 80 (http)

iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

Rules dưới cho phép tất cả các truy cập tới cổng 443 (https)

iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 443 -m state –state ESTABLISHED -j ACCEPT

6. Cho phép SSH ra ngoài VPS/Server

iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

7. Cho phép SSH ra ngoài VPS/Server tới 1 địa chỉ IP cụ thể

iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

8. Cho phép kết nối https ra ngoài

iptables -A OUTPUT -o eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 443 -m state –state ESTABLISHED -j ACCEPT


9. Load Balance cho website

bạn có thể thiết lập load balance cho truy cập tới website bằng cách sử dụng iptables firewall rules.

Cái này sử dụng phần mở rộng iptables nth.Ví dụ đặt chế độ cân bằng tải cho truy cập https tới 3 đại chỉ IP. The following example load balances the HTTPS traffic to three different ip-address.

iptables -A PREROUTING -i eth0 -p tcp –dport 443 -m state –state NEW -m nth –counter 0 –every 3 –packet 0 -j DNAT –to-destination 192.168.1.101:443
iptables -A PREROUTING -i eth0 -p tcp –dport 443 -m state –state NEW -m nth –counter 0 –every 3 –packet 1 -j DNAT –to-destination 192.168.1.102:443
iptables -A PREROUTING -i eth0 -p tcp –dport 443 -m state –state NEW -m nth –counter 0 –every 3 –packet 2 -j DNAT –to-destination 192.168.1.103:443


11. Cho phép Ping tới VPS/Server

iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT


12. Cho phép Ping ra ngoài VPS/Server

iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT


13. Cho phép Loopback

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


14. Cho phép Internal Network to External network.

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT


15. Cho phép outbound DNS

iptables -A OUTPUT -p udp -o eth0 –dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 –sport 53 -j ACCEPT

16. Cho phép kết nối NIS
Nếu bạn sử dụng NIS để quản lý các tài khoản người dùng (user), bạn nên cho phép kết nối NIS. Mặc dù kết nối SSH đã cho phép nhưng nếu chúng ta không cho phép NIS kết nối như tới ypbind thì người dùng cũng không thể đăng nhập.

rpcinfo -p | grep ypbind

Bây giờ ta cho phép tất các kết nối tới cổng 111, congr này được sử dụng bởi ypblid.

iptables -A INPUT -p tcp –dport 111 -j ACCEPT
iptables -A INPUT -p udp –dport 111 -j ACCEPT
iptables -A INPUT -p tcp –dport 853 -j ACCEPT
iptables -A INPUT -p udp –dport 853 -j ACCEPT
iptables -A INPUT -p tcp –dport 850 -j ACCEPT
iptables -A INPUT -p udp –dport 850 -j ACCEPT

17. Cho phép Rsync từ địa chỉ IP cụ thể

iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 –dport 873 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 873 -m state –state ESTABLISHED -j ACCEPT


18. Chỉ cho phép kết nối tớ MSQL từ địa chỉ cụ thể

iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 –dport 3306 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 3306 -m state –state ESTABLISHED -j ACCEPT


19. Cho phép gửi email

iptables -A INPUT -i eth0 -p tcp –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 25 -m state –state ESTABLISHED -j ACCEPT


20. Cho phép IMAP and IMAPS

Cho phép IMAP/IMAP2

iptables -A INPUT -i eth0 -p tcp –dport 143 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 143 -m state –state ESTABLISHED -j ACCEPT

Cho phép IMAPS

iptables -A INPUT -i eth0 -p tcp –dport 993 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 993 -m state –state ESTABLISHED -j ACCEPT

21. Chi phép POP3 và POP3S

Cho phép POP3.

iptables -A INPUT -i eth0 -p tcp –dport 110 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 110 -m state –state ESTABLISHED -j ACCEPT

Chi phép POP3S

iptables -A INPUT -i eth0 -p tcp –dport 995 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 995 -m state –state ESTABLISHED -j ACCEPT


22. Ngăn chặn tấn công DDOS

iptables -A INPUT -p tcp –dport 80 -m limit –limit 25/minute –limit-burst 100 -j ACCEPT

Giải thích:

-m limit: This uses the limit iptables extension
–limit 25/minute: cho phép 25 kết nối tới trong 1 phút
–limit-burst 100: This value indicates that the limit/minute will be enforced only after the total number of connection have reached the limit-burst level.

23. Chuyển kết nối tới cổng khác

Với cách này bạn sẽ chuyển tất cả các kết nối từ cổng 442 sang cổng 22. Có nghĩa là bạn có thể truy cập SSH cả cổng 442 và 22.

iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 –dport 422 -j DNAT –to 192.168.102.37:22

Tiếp theo bạn cho phép các kết nối tới cổng 422

iptables -A INPUT -i eth0 -p tcp –dport 422 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 422 -m state –state ESTABLISHED -j ACCEPT


24. Đặt cấu hình Chain mặc định

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Theo: Thegeekstuff

Bình luận của bạn

Bạn vui lòng sử dụng tên thật hay nickname và không sử dụng từ khóa trong phần điền tên. Nếu vi phạm, mình xin phép không cho hiện comment trên site. Cảm ơn bạn.



:xauho: :roll: :oops: :nono: :mrgreen: :mofat: :macf: :data: :cry: :claps: :bye: :batfa: :ZZZM: :D ::tholoz: ::meney: ::kiss:: ::fulltime: ::cuoiroile:: ::chugun: ::chenhca: ::cave: ::bank: ::CRTTS: :-| :-D :-? 8)
KHUYẾN MẠI ĐẶC BIỆT ! VULTR Đang Tặng 52 USD Cho Tài Khoản Mới ! GET COUPON NOW
Hello. Add your message here.