[Question] Giúp bố trí mô hình demo firewall iptables |
18/03/2011 21:58:32 (+0700) | #1 | 233469 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Mình đang tìm hiểu và làm báo cáo về vấn đề firewall iptables. Về cơ bản lí thuyết mình đã đọc qua và hiểu, nay mình nhờ mọi người tư vấn giúp mình bố trí mô hình để mình demo đề tài này sao cho dễ hiểu và hiệu quả.
Mình chưa hình dung ra được nên bố trí mô hình như thế nào cũng như nên bảo vệ ứng dụng j. Mình xài vmware, mình mới cài 2 máy ubuntu server rùi ping và đặt luật vớ vẩn thui, bạn có thể góp ý cho mình nên cài những j được không.
Cảm ơn mọi người.
|
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
19/03/2011 14:35:15 (+0700) | #2 | 233519 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày
Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables
Máy A <-> Máy B ( iptables ) <-> Máy C
Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C
VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
25/03/2011 13:02:14 (+0700) | #3 | 233927 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
xnohat wrote:
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày
Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables
Máy A <-> Máy B ( iptables ) <-> Máy C
Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C
VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB
Cảm ơn bạn, máy B mình sẽ cài thêm các dịch vụ như Web, FTP... để dùng iptables lọc chặn khi có các máy A hay C truy cập vào được không, bạn có thể giúp mình cách cài cái dịch vụ đó trên ubuntu server 10.04 k |
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
25/03/2011 15:13:23 (+0700) | #4 | 233940 |
|
vitcon01
Member
|
0 |
|
|
Joined: 29/04/2009 11:28:21
Messages: 306
Offline
|
|
886 wrote:
xnohat wrote:
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày
Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables
Máy A <-> Máy B ( iptables ) <-> Máy C
Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C
VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB
Cảm ơn bạn, máy B mình sẽ cài thêm các dịch vụ như Web, FTP... để dùng iptables lọc chặn khi có các máy A hay C truy cập vào được không, bạn có thể giúp mình cách cài cái dịch vụ đó trên ubuntu server 10.04 k
-Không nên sử dụng một máy vừa đóng vai trò iptable vừa cung cấp các dịch vụ, bây giờ trong mô hình này chỉ có 3 máy vấn đề hiệu năng cho iptable cũng như các dịch vụ không quan trọng lém, nhưng đối với mô hình với hàng trăm máy thì cần xem lại.
-->nên triển khai các dịch vụ một trong 2 máy A hoặc C
FTP server(search google: how to config vsftp ubuntu 10.04) : https://help.ubuntu.com/10.04/serverguide/C/ftp-server.html
Web server: https://help.ubuntu.com/10.04/serverguide/C/httpd.html |
|
JK - JH
()()()
LTKT - LTT |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
25/03/2011 16:54:41 (+0700) | #5 | 233944 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
886 wrote:
xnohat wrote:
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày
Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables
Máy A <-> Máy B ( iptables ) <-> Máy C
Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C
VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB
Cảm ơn bạn, máy B mình sẽ cài thêm các dịch vụ như Web, FTP... để dùng iptables lọc chặn khi có các máy A hay C truy cập vào được không, bạn có thể giúp mình cách cài cái dịch vụ đó trên ubuntu server 10.04 k
Máy B là Firewall sao lại cài lung tung lên đó để các thông số khảo sát sau này nó rối beng lên ? |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
29/03/2011 19:26:40 (+0700) | #6 | 234240 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Thanks anh nha
giờ em cài một máy là firewall 1 máy server còn 1 máy client, nhưng chưa biết cách test các dịch vụ như mail, web, ftp như thế nào |
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
29/03/2011 21:40:19 (+0700) | #7 | 234246 |
stuki
Member
|
0 |
|
|
Joined: 20/10/2008 23:24:39
Messages: 24
Offline
|
|
Mô hình : Máy A <---> Máy B (firewall) <---> Internet
Máy B làm firewall nên có 2 card mạng.
Bạn cấu hình card mạng bên ngoài ( nối với internet ) là bridge (cho nhận DHCP từ modem luôn ) , card trong thì để host-only.
Máy A có 1 card mạng, chọn host-only.
Đặt IP cho máy A và card mạng trong của máy B. Sau đó ping qua ping lại kiểm tra thông là OK.
Sau đó đặt luật cấm máy A vào trang web gì đó ( yahoo.com chẳng hạn ).
Và ngồi ở máy A vào thử.
Vậy thôi. |
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
30/03/2011 11:53:35 (+0700) | #8 | 234264 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Hiện nay em đã làm ttheo mô hình sau: máy A (192.168.1.2) <=> (192.168.1.1)máy B (172.16.1.1) <=> máy C(172.16.1.2)
Em cài đặt web server trên máy A và máy B như firewal, giờ em phải cấu hình sau để máy C có thể truy cập vào máy A được, mọi người ai biết giúp em với, xin cảm ơn |
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
30/03/2011 15:55:58 (+0700) | #9 | 234279 |
crazym
Member
|
0 |
|
|
Joined: 12/12/2010 23:03:48
Messages: 31
Offline
|
|
Mô hình như bạn thì cũng ko quá khó để thực hiện nhưng đòi hỏi phải đọc qua tài liệu về Routing và iptables.
Tớ góp ý thế này(dựa theo kinh nghiệm từ các bác ở đây hướng dẫn):
#Bạn có 2 mạng:
192.168.1.0/24(INTNET)
172.16.1.0/24(EXTNET)
Yêu cầu đặt ra, máy ở EXTNET có thể truy cập các dịch vụ tại máy cài dịch vụ ở INTNET.
Đầu tiên phải cho 2 mạng thông nhau tức là bạn phải NAT để 2 mạng "nhìn thấy nhau". Sau đó
mới tính chuyện truy cập dịch vụ này, dịch vụ kia. Vậy tìm hiểu về NAT bằng iptables đi nhá.
Thân |
|
_-+-__-+-__-+-__-+-__-+-_ |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
30/03/2011 15:58:08 (+0700) | #10 | 234280 |
crazym
Member
|
0 |
|
|
Joined: 12/12/2010 23:03:48
Messages: 31
Offline
|
|
Một số link bạn có thể tham khảo:
http://vnexperts.net/bai-viet-ky-thuat/nix/793-vi-d-v-cach-cu-hinh-iptables.html
http://congdongit.org/linux-unix/1215-cau-hinh-cho-iptables-firewall.html
Đặt biệt là:
/hvaonline/posts/list/105.html
/hvaonline/posts/list/154.html
/hvaonline/posts/list/25676.html
Các tiểu tiết khác như làm thế nào để chạy script rules cho iptables thì chắc là bạn biết rùi. Chúc thành công. |
|
_-+-__-+-__-+-__-+-__-+-_ |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
02/04/2011 22:25:11 (+0700) | #11 | 234483 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Cảm ơn anh Crazym nhiều!
Em đã đọc và cũng hiểu ra nhiều hơn.
Nhưng có một số lỗi em không hiểu vì sao, hôk viết em có cài đặt thiếu j hok? Như em viết rule xong tắt máy hôm sau mở lại thì nó hok lưu và như chưa có rule gì, mặc dù em đã tạo thư mục /etc/sysconfig/iptables và chmod cho nó rôi. Mỗi lần cấu hình xong em muốn lưu cấu hình dùng lệnh service iptables save lưu thì nó báo unrecongnized service.
Hình như nó làm việc chả đả động j tới cái /etc/sysconfig/iptables hết. Trong tập tin đó có luật mà khi khởi động lên nó hok nhận được coi như chưa có luật nào. Mọi người có thể giúp em làm thế nào để khi khởi động mà vẫn còn giữ nguyên các rule như trước và sửa các lỗi ở trên.
Thanks mọi người nhiều.
Đây là hình e ghi lại
|
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
02/04/2011 22:59:43 (+0700) | #12 | 234489 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
https://help.ubuntu.com/community/IptablesHowTo#Saving iptables |
|
Let's build on a great foundation! |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
04/04/2011 19:32:43 (+0700) | #13 | 234671 |
servers_ht
Member
|
0 |
|
|
Joined: 11/10/2010 22:53:50
Messages: 17
Offline
|
|
để máy C có thể truy cập vào máy A bằng một ứng dụng nào đó chẳng hạn như web,ftp ... thì bạn phải mở port đó trên firewall.
ví dụ : ở đây tôi mở port 80
iptables –A INPUT –s 0/0 –p tcp --port 80 –j ACCEPT |
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
13/04/2011 14:49:27 (+0700) | #14 | 235370 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Mấy anh cho em hỏi, em có viết 1 file .sh để chạy cấu hình mà khi chạy thì nó lại báo lỗi mà em hok biết lỗi gì, em có kèm theo hình, mấy anh coi thử và giúp em sửa lỗi với.
Thanks mấy anh nhiều.
Báo là lỗi ở dòng thứ 2
|
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
13/04/2011 16:13:03 (+0700) | #15 | 235374 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
Bạn bị lẫn lộn rồi. input cho iptables-restore phải là một file có cấu trúc iptables rules (những gì bạn nhìn thấy khi chạy iptables-save ấy), chứ không phải là một file bash để add rules cho iptables. |
|
Let's build on a great foundation! |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
14/04/2011 09:39:03 (+0700) | #16 | 235419 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Cảm ơn anh, vậy giờ em muốn chạy file cấu hình đó thì làm như thế nào anh. Anh chỉ cho e tài liệu về phần đó được hôk?
Em có copy nội dung của file trên vào file iptables để khi khởi động nó sẽ tự động load cấu hình từ file iptables mà vẫn hok được, coi cấu hình hok có j hết |
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
14/04/2011 09:54:22 (+0700) | #17 | 235422 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
886 wrote:
Cảm ơn anh, vậy giờ em muốn chạy file cấu hình đó thì làm như thế nào anh.
"file cấu hình đó" là file bash ở trên hả? Nếu vậy thì chỉ cần:
- chmod +x /path/to/iptables.sh
- sh /path/to/iptables.sh
886 wrote:
Em có copy nội dung của file trên vào file iptables để khi khởi động nó sẽ tự động load cấu hình từ file iptables mà vẫn hok được, coi cấu hình hok có j hết
"file iptables" là file nào, đặt ở đâu?
Có 2 cách để load iptables rules khi khởi động:
- một là bạn có thể chạy bash file ở trên trong /etc/rc.local. Ubuntu thì tham khảo cái này: https://help.ubuntu.com/community/RcLocalHowto
- hai là chạy bash file đó từ command line đi, sau đó gọi iptables-save > /etc/iptables.rules rồi đọc lại đường link iptables HowTo ở trên. |
|
Let's build on a great foundation! |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
14/04/2011 10:23:16 (+0700) | #18 | 235426 |
actuladn
Member
|
0 |
|
|
Joined: 25/08/2009 00:44:47
Messages: 89
Location: HCM
Offline
|
|
mọi người cho em hỏi vấn đề tương tự trong mô hình của một cty.
modem ----- SW core ---- Client SW
Mục tiêu đưa ra là vẽ lại sơ đồ hạn chế các cuộc tấn công bên ngoài vào, và không ảnh hưởng đến tốc độ truy cập. E có nghĩ đến IPS trên iptables nhưng chưa biết đặt đâu để có hiệu quả tốt nhất.
Em định vẽ sơ đố gắn con IPS vào 1 port sw core.nhưng nếu có tấn công DOS không biết IPS có ngăn chặn được không?
mọi người nêu ý kiến cho e với |
|
Honeyboy Cung Cấp Mật Ong, Sữa Ong Chúa, Phấn Hoa | DHM Văn Phòng Phẩm Giá Rẻ |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
15/04/2011 23:26:25 (+0700) | #19 | 235551 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Em đã làm theo cách anh chỉ, lúc chạy fiel .sh thì nó lại báo lỗi mà em cũng hôk biết tại sao...
Đây là hình về cái lỗi
Bad argument 'SNAT' hok biết có phải lỗi của bảng NAT hok?
Anh giúp e sữa lỗi này với.
|
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
16/04/2011 09:48:06 (+0700) | #20 | 235563 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
Bạn thảy lên toàn bộ nội dung của config.sh xem (chỉ cần copy paste, đưa vào [ code ] tag cho nhanh, cần gì phải take screenshot cho mệt).
PS: Đoán mò là $EXTIF, $EXTIP chưa định nghĩa ở trên. |
|
Let's build on a great foundation! |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
16/04/2011 11:48:54 (+0700) | #21 | 235578 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Anh đoán đúng, em ghi nhầm EXT thành ETX nên lỗi. Thanks anh nhiều.
Lúc trước em cấu hình mấy cái card mạng chạy ok, mà sau khi chạy file cấu hình .sh thì nó báo lỗi chỗ iptables-store, hình dưới
Mô hình của e 3 máy, A B C, máy B 2 card làm firewall, em muốn cấu hình máy C truy cập web ở máy A, code của e như sau:
#!/bin/bash
INTIF="eth1"
INTIP="192.168.1.1"
INTNET="192.168.1.0/24"
LOIF="lo"
LOIP="127.0.0.1"
EXTIF="eth0"
EXTIP="172.16.1.1"
EXTINET="172.16.1.0/24"
TCP_PORTS="80"
HI_PORTS="1024:65535"
IPT="/sbin/iptables"
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -F -t filter
$IPT -t mangle -X
$IPT -t nat -X
$IPT -X
$IPT -P INTPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -i $INTIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -p tcp -i $INTIF -o $EXTIF -s $INTNET -d $EXTNET --dport $TCP_PORTS -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
Anh coi thử đúng hôk, mà khi e chạy nó vẫn hem forward được. |
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
16/04/2011 12:08:56 (+0700) | #22 | 235580 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
iptables-restore chứ không phải iptables-store. |
|
Let's build on a great foundation! |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
16/04/2011 15:41:35 (+0700) | #23 | 235588 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Em đã xử lý được chỗ restore, thanks anh đã giúp em từ đầu topic tới giờ.
Anh coi giúp file cấu hình em có đúng không sao em truy cập web server từ máy A đến máy C mà không forward được, file cấu hình ở trên đó anh, dưới đây là hình nội dung iptables-save của firewall em.
|
|
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
18/04/2011 09:27:42 (+0700) | #24 | 235690 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
Bạn vẽ sơ đồ ra: bỏ hết mấy cái INT, EXT đi cho đơn giản và đỡ nhầm, NIC nào có IP bao nhiêu thì viết vào bên cạnh luôn. Sau đó ngồi hình dung xem từ C muốn truy cập web server trên A thì packet nó đi thế nào. Theo đề bài ở post 8 thì bạn đang bị ngược chiều đấy. |
|
Let's build on a great foundation! |
|
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
22/04/2011 21:55:48 (+0700) | #25 | 236012 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Mô hình của em gồm 3 máy như hình, em muốn nhờ firewall NAT để máy trong LAN có thể truy cập web từ Web Server. Ngoài ra tất cả các dịch vụ khác đều DROP.
Mô hình này dự định em sẽ cài thêm snort vào firewall nữa.
Nội dung file cấu hình như em đã post ở trên |
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
28/04/2011 10:48:52 (+0700) | #26 | 236342 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Đã giải quyết được, cảm ơn moi người đã theo dõi và giúp đỡ nhìu.
Giời tiếp tục tới phần Snort.... |
|
|
[Question] Giúp bố trí mô hình demo firewall iptables |
03/05/2011 17:05:21 (+0700) | #27 | 236571 |
886
Member
|
0 |
|
|
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
|
|
Mấy anh giúp e lỗi này với, em giải nén tập rules của snort mà nó báo lỗi j đó, mặc dù e giải nén mấy file .tar.gz khác vẫn đc
|
|
|
|