Bạn nên tìm hiểu về mạng (tốt nhất là đọc cuốn tcp/ip trong thư viện của HVA). iptables hoạt động ở layer 3 trong mô hình tcp/ip, còn các ứng dụng web,mail,... hoạt động ở layer 4 nên iptables không thể can thiệp được. Nếu muốn chặn virus hay trojan thì phải kết hợp iptables với 1 ứng dụng khác hoạt động ở layer 4.
Xem thêm:
http://lists.netfilter.org/pipermail/netfilter/2004-September/055853.html
http://www.linux-tip.net/cms/content/view/294/26/
http://www.linux-tip.net/cms/content/view/297/26/ 

Xin chào cả nhà
Mình mới tập tành học Linux và đã đọc được Case 1 và 2 của anh conmale thấy rất hay, mình đã làm được nhưng còn thắc mắc như sau:

Code:

iptables -t nat -A POSTROUNTING -o eth0 -j MASQUERADE

Cái code trên theo như mình hiểu nôm na là share internet cho các máy trong LAN có thể truy cập được Internet, nhưng nếu vậy thì các máy trong LAN bị nhiểm Trojan hay Keylog thì có chặn được không ? Nếu không thì xin giúp mình cách thiết lập như thế nào để có thể chặn được.

Mô hình mạng của mình như thế này:

LAN (192.168.1.0/24) --- eth1 (192.168.1.2) [gateway + firewall] (192.168.5.2) eth0 --- (192.168.5.1) ADSL --- Internet

Mình muốn các máy trong LAN truy xuất được các dịch vụ: web, mail (pop3), fpt

Thông cảm nếu câu hỏi mình gà nhé Vì mình toàn học lóm, có cái học trước làm sau, có cái làm trước rồi dựa vào đó mà học nên kiến thức lung tung.

Mong được sự giúp đỡ của mọi người!

P/S: Mình dùng Debian 

ShinichiKuto wrote:

Xin chào cả nhà
Mình mới tập tành học Linux và đã đọc được Case 1 và 2 của anh conmale thấy rất hay, mình đã làm được nhưng còn thắc mắc như sau:

Code:

iptables -t nat -A POSTROUNTING -o eth0 -j MASQUERADE

Cái code trên theo như mình hiểu nôm na là share internet cho các máy trong LAN có thể truy cập được Internet, nhưng nếu vậy thì các máy trong LAN bị nhiểm Trojan hay Keylog thì có chặn được không ? Nếu không thì xin giúp mình cách thiết lập như thế nào để có thể chặn được.

Mô hình mạng của mình như thế này:

LAN (192.168.1.0/24) --- eth1 (192.168.1.2) [gateway + firewall] (192.168.5.2) eth0 --- (192.168.5.1) ADSL --- Internet

Mình muốn các máy trong LAN truy xuất được các dịch vụ: web, mail (pop3), fpt

Thông cảm nếu câu hỏi mình gà nhé Vì mình toàn học lóm, có cái học trước làm sau, có cái làm trước rồi dựa vào đó mà học nên kiến thức lung tung.

Mong được sự giúp đỡ của mọi người!

P/S: Mình dùng Debian 

Để khai triển ý nghĩ dùng iptables để cản virus, em cần xét hai điểm quan trọng:

1) iptables làm việc ở tầng nào của tcp/ip?
2) virus thường lây lan như thế nào và nó có liên quan gì đến tầng hoạt động của iptables?

Em thử trình bày suy nghĩ của em về 2 câu hỏi trên rồi mình khai triển tiếp. 

conmale wrote:

Để khai triển ý nghĩ dùng iptables để cản virus, em cần xét hai điểm quan trọng:

1) iptables làm việc ở tầng nào của tcp/ip?
2) virus thường lây lan như thế nào và nó có liên quan gì đến tầng hoạt động của iptables?

Em thử trình bày suy nghĩ của em về 2 câu hỏi trên rồi mình khai triển tiếp. 

Thú thật với anh em chưa nắm rõ lắm về các tầng của TCP/IP. Chỉ có lần em xem một máy đang nhiễm Trojan thấy nó giao tiếp ra bên ngoài với rất nhiều port và Keylog thì ghi lại những gì mình gõ trên bàn phím để gửi mail ra ngoài (cái này thì em mù không biết nó dùng port nào), từ đó nên em mới có suy nghĩ dùng Iptables để chặn. Tức là mình chỉ mở cho các máy trong LAN chỉ được ra ngoài với các port 80, 21, 25, 110,... còn lại các port khác thì không cho ra.

Suy nghỉ của em như vậy không biết có áp dụng Iptables vào được không. Xin anh cứu khổ cứu nạn

P/S: Vì tự học một mình nên đụng đâu làm đó, chứ kiến thức thì không có hệ thống gì cả.