Sunday, 4 Mar 2018
kinh nghiệm

Hướng dẫn mở iptables cho openvpn

Sử dụng tường lửa (Firewall) hầu như là việc bắt buộc phải làm khi bạn dùng máy chủ để chống lại các truy cập bất hợp pháp bằng cách tự thiết lập ra các quy tắc chặn truy cập của riêng mình. Trong các bản phân phối của Linux như CentOS, Ubuntu, Fedora,..đều có tích hợp công cụ tường lửa tên là Iptables vào nhưng đôi lúc nó hơi khó sử dụng cho newbie.

Ở bài này, mình sẽ giải thích kỹ càng cách “chinh phục” Iptables này theo hướng đơn giản và dễ hiểu nhất. Bắt nó phải làm việc với openvpn

Bắt đầu với Iptables

Trước khi bắt đầu, mình muốn cho bạn xem danh sách một số quy tắc tường lửa cần thiết trong mỗi server. Mặc định thì iptables sẽ không có bất cứ quy tắc nào cả.

Các quy tắc dưới đây mình sẽ viết theo cấu trúc hiển thị quy tắc trong iptables, đừng vội thắc mắc làm sao để xem quy tắc mà cứ hiểu ý nghĩa mỗi dòng là được rồi.

TARGET    PROT   OPT  IN   OUT   SOURCE     DESTINATION

ACCEPT    all    —   lo   any   anywhere   anywhere

ACCEPT    all    —   any  any   anywhere   anywhere    ctstate  RELATED,ESTABLISHED

ACCEPT    tcp    —   any  any   anywhere   anywhere    tcp      dpt:ssh

ACCEPT    tcp    —   any  any   anywhere   anywhere    tcp      dpt:http

ACCEPT    tcp    —   any  any   anywhere   anywhere    tcp      dpt:https

DROP      all    —   any  any   anywhere   anywhere

Ngay đoạn thứ nhất, chúng ta có các cột như TARGET, PROT, OPT, IN, OUT, SOURCE, DESTINATION, ý nghĩa của mỗi cột là như sau:

  • TARGET: Hành động sẽ thực thi cho mỗi chuỗi quy tắc.
  • PROT: Là viết tắt của chữ Protocol, nghĩa là giao thức. Tức là các giao thức sẽ được áp dụng để thực thi quy tắc này. Ở đây chúng ta có 3 lựa chọn là alltcp hoặc udp. Các ứng dụng như SSH, FTP, sFTP,..đều sử dụng giao thức kiểu TCP.
  • IN: Thiết bị mạng nhận kết nối vào được áp dụng cho quy tắc, chẳng hạn như lo, eth0, eth1.
  • OUT: Thiết bị mạng phục vụ nhu cầu gửi kết nối ra ngoài được áp dụng quy tắc.
  • DESTINATION: Địa chỉ của lượt truy cập được phép áp dụng quy tắc.

Để dễ hiểu hơn, mình xin lấy quy tắc thứ nhất ra giải thích cho các bạn nhé:

ACCEPT    all    —   lo   any   anywhere   anywhere

Chấp nhận toàn bộ kết nối thông qua thiết bị lo, lo ở đây nghĩa là “Loopback Interface“, là một thiết bị mạng ảo nội bộ, chẳng hạn như IP 127.0.0.1 là kết nối qua thiết bị này.

ACCEPT    all    —   any  any   anywhere   anywhere    ctstate  RELATED,ESTABLISHED

Cho phép giữ lại các kết nối hiện tại. Nghĩa là khi bạn đang ở trong SSH và sửa đổi lại Firewall, nó sẽ không đá bạn ra khỏi SSH nếu bạn không thỏa mãn quy tắc.

ACCEPT    tcp    —   any  any   anywhere   anywhere    tcp      dpt:ssh

Cho phép kết nối vào SSH Server ở bất cứ thiết bị nào, bất cứ ai và bất cứ đâu. Mặc định nó sẽ hiển thị dpt:ssh để biểu diễn cổng 22 của SSH, nếu bạn đổi SSH thành cổng khác thì nó sẽ hiển số cổng.

ACCEPT    tcp    —   any  any   anywhere   anywhere    tcp      dpt:http

Cho phép kết nối vào cổng 80, mặc định nó sẽ biểu diễn bằng chữ http.

ACCEPT    tcp    —   any  any   anywhere   anywhere    tcp      dpt:https

Cho phép kết nối vào cổng 443, mặc định nó sẽ biểu diễn bằng chữ https.

DROP      all    —   any  any   anywhere   anywhere

Ngắt các kết nối ở mọi kết nối khác nếu không thuộc những loại kết nối ở trên.

Cách tạo một quy tắc iptables mới

Nếu iptables của bạn chưa được thiết lập thì bạn gõ lệnh iptables -L -v nó sẽ trả kết quả về giống thế này:

Chain INPUT (policy ACCEPT 2245 packets, 200K bytes)

pkts bytes target     prot opt in     out     source               destination

 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target     prot opt in     out     source               destination

 

Chain OUTPUT (policy ACCEPT 1795 packets, 147K bytes)

pkts bytes target     prot opt in     out     source               destination

Tại đoạn trên, bạn sẽ thấy nó được chia ra làm 3 nhóm với 3 kiểu quy tắc đó là:

  • INPUT: áp dụng cho các kết nối đi vào.
  • FORWARD: áp dụng cho các kết nối đã được trỏ đến một vị trí khác.
  • OUTPUT: áp dụng cho các kết nối ra ngoài từ máy chủ.

Ok, bây giờ chúng ta sẽ thêm một quy tắc đơn giản vào iptables với lệnh sau:

01 iptables -A INPUT -i lo -j ACCEPT

Đoạn trên có nghĩa là:

  • -A INPUT: khai báo kiểu kết nối sẽ được áp dụng (A nghĩa là Append).
  • -i lo: Khai báo thiết bị mạng được áp dụng (i nghĩa là Interface).
  • -j ACCEPT: khai báo hành động sẽ được áp dụng cho quy tắc này (j nghĩa là Jump).

Và bây giờ hãy thử gõ lại lệnh iptables -L -v  hay iptables -L  nhé, bạn sẽ thấy quy tắc chúng ta vừa thêm đã xuất hiện trong đó.

Sau khi thêm một quy tắc hay làm bất cứ việc gì xong, nhớ gõ lệnh lưu quy tắc và khởi động lại iptables để nó áp dụng thay đổi.

01

02

service iptables save

service iptables restart

Tiếp tục bây giờ chúng ta thêm một quy tắc để cho phép lưu lại các kết nối hiện tại để tránh hiện tượng tự block bạn ra khỏi máy chủ.

01 iptables -A INPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT

Đoạn trên cấu trúc cũng như quy tắc chúng ta vừa thêm, nhưng nó sẽ có thêm hai tham số mới là:

  • -m conntrack: Áp dụng cho các kết nối thuộc module tên là “Connection Tracking“. Module này sẽ có 4 kiểu kết nối là NEW, ESTABLISHED, RELATED và INVALID. Cụ thể là ở quy tắc này chúng ta sẽ sử dụng kiểu RELATED và ESTABLISHED để lọc các kết nối đang truy cập.
  • –ctstate RELATED,ESTABLISHED: Khai báo loại kết nối được áp dụng của cái module Connection Tracking mà mình đã nói ở trên.

Và đây là đoạn tạo quy tắc cho phép truy cập cổng 22 của SSH.

01 iptables -A INPUT -p tcp –dport 22 -j ACCEPT
  • -p tcp: Giao thức được áp dụng.
  • –dport 22: Cổng cho phép áp dụng.

Và cho phép truy cập cổng 80

01 iptables -A INPUT -p tcp –dport 80 -j ACCEPT

Nhưng sẽ khóa toàn bộ các kết nối còn lại:

01 iptables -A INPUT -j DROP

Bây giờ bạn đã có đủ các quy tắc cần thiết mà mình đã đề cập ở đầu bài rồi đó

Cách tạo iptables làm việc với openvpn

Nếu bạn đã cài đặt các máy chủ openvpn và iptable là ngăn chặn các dịch vụ theo mặc định. Đây là cách cấu hình cho openvpn hoạt động đúng với IPTABLES . Trước tiên hãy cho phép các kết nối TCP trên cổng openvpn. Nếu bạn đang sử dụng UDP hoặc một số cổng khác hay thay đổi dòng này cho phù hợp.

iptables -A INPUT -i eth0 -m state –state NEW -p udp –dport 1194 -j ACCEPT

Cho phép kết nối giao diện TUN đến máy chủ OpenVPN của vps ( thay tun+ bằng “tun..” thực tế trên vps. Dùng lệnh route –n )

iptables -A INPUT -i tun+ -j ACCEPT

Cho phép kết nối giao diện TUN được chuyển tiếp thông qua các giao diện khác

iptables -A FORWARD -i tun+ -j ACCEPTiptables -A FORWARD -i tun+ -o eth0 -m state –state RELATED,ESTABLISHED -j ACCEPTiptables -A FORWARD -i eth0 -o tun+ -m state –state RELATED,ESTABLISHED -j ACCEPT

Dùng NAT  thay đổi  địa chỉ ip theo thông tin của bạn trong kết quả tun0 trong khi chạy “ifconfig” lệnh.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j Masquerade

Nếu giá trị OUTPUT iptables mặc định của bạn không được CHẤP NHẬN, bạn cũng sẽ cần một dòng như:

iptables -A OUTPUT -o tun + -j ACCEPT

Bây giờ là lưu và khởi động lại dịch vụ iptables để tận hưởng thành quả nhé

  1. Service iptables save
  2. Service iptables restart.

Cách xóa một quy tắc iptables

Ở trên mình đã có nói qua cách thêm một quy tắc để cho phép kết nối vào cổng 22 của SSH. Nhưng nếu bạn đã đổi cổng SSH rồi thì dĩ nhiên chúng ta sẽ không cần quy tắc này nữa, nên sẽ cần xóa nó đi để thêm một quy tắc mới.

Trước khi xóa một quy tắc, bạn cần phải xác định được quy tắc này nằm ở hàng thứ mấy trong loại kết nối (INPUT, OUTPUT,..). Bạn cứ gõ lệnh iptables -L ra và xem rồi đếm.

01

02

03

04

05

06

07

08

09

10

11

12

13

14

Chain INPUT (policy ACCEPT)

target     prot opt source               destination

ACCEPT     all  —  anywhere             anywhere

ACCEPT     tcp  —  anywhere             anywhere            tcp dpt:https

ACCEPT     all  —  anywhere             anywhere            ctstate RELATED,ESTABLISHED

ACCEPT     tcp  —  anywhere             anywhere            tcp dpt:ssh

ACCEPT     tcp  —  anywhere             anywhere            tcp dpt:http

DROP       all  —  anywhere             anywhere

 

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

 

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

  1. Vậy ở đây là mình cần xóa quy tắc số 4 của INPUT.
01 iptables -D INPUT 4
  1. Ngoài ra, nếu bạn muốn xóa toàn bộ các quy tắc chứa hành động DROP thì có thể sử dụng lệnh sau:
01 iptables -D INPUT -j DROP

 

hướng dẫn sử dụng openvpn với iptables là hết .Chúc bạn thành công

Post Comment