bao cao thuc tap vdc tranning da nang la xuan tam,tran canh ngo

ĐẠI HỌC ĐÀ NẴNG

TRƢỜNG ĐẠI HỌC BÁCH KHOA

KHOA CÔNG NGHỆ THÔNG TIN Tel. (84-511) 736 949, Fax. (84-511) 842 771

Website: itf.ud.edu.vn, E-mail: [email protected]

BÁO CÁO THỰC TẬP TỐT NGHIỆP

NGÀNH CÔNG NGHỆ THÔNG TIN

MÃ NGÀNH : 05115

ĐỀ TÀI :

TÌM HIỂU VÀ CẤU HÌNH IPTABLES TRÊN HỆ ĐIỀU

HÀNH LINUX

SINH VIÊN : LÃ XUÂN TÂM (11TLT)

TRẦN CANH NGỌ

ĐƠN VỊ : VDC Training

CBHD : Th.s NGUYỄN SONG TÙNG

ĐÀ NẴNG, 01/2013

mailto:itf.ud.edu.vn

LỜI CẢM ƠN

Trong đợt thực tập vừa qua, chúng em đã nhận đƣợc sự huớng dẫn, giúp đỡ và

động viên tận tình từ nhiều phía. Tất cả những điều đó đã trở thành một động lực rất

lớn giúp chúng em có thể hoàn thành tốt mọi công việc đƣợc giao. Với tất cả sự cảm

kích và trân trọng, chúng em xin đƣợc gửi lời cảm ơn đến tất cả mọi ngƣời.

Trƣớc tiên cho chúng em đƣợc gửi lời cảm ơn đến Ban lãnh đạo Trung tâm đào

tạo VDC Training Đà Nẵng đã tạo điều kiện cho chúng em đƣợc tham gia thực tập tại

công ty cũng nhƣ cung cấp tất cả các cơ sở vật chất và trang thiết bị có thể cho chúng

em trong thời gian vừa qua. Xin cảm ơn thầy Th.s Nguyễn Song Tùng và các anh chị

trong công ty đã tận tình hƣớng dẫn giúp đỡ chúng em trong suốt thời gian em tham

gia thực tập.

Em cũng xin đƣợc gửi lời cảm ơn đến lãnh đạo trƣờng Đại học Bách Khoa Đà

Nẵng, lãnh đạo khoa Công nghệ thông tin đã tổ chức các buổi giao lƣu giửa các doanh

nghiệp và sinh viên thật sự bổ ích, giúp chúng em có cơ hội tìm đƣợc một đơn vị thực

tập tốt.

Xin đƣợc cảm ơn tất cả các sinh viên tham gia thực tập tại VDC Training Đà

Nẵng trong đợt thực tập vừa qua, những ngƣời đã luôn sát cánh cùng chúng mình, chia

sẻ, ủng hộ và giúp đỡ mình trong thời gian thực tập vừa qua.

Xin trân trọng cảm ơn!

LỜI CAM ĐOAN

Tôi xin cam đoan :

1. Những nội dung trong báo cáo này là do tôi thực hiện dƣới sự hƣớng dẫn trực

tiếp của thầy Th.s Nguyễn Song Tùng.

2. Mọi tham khảo dùng trong báo cáo này đều đƣợc trích dẫn rõ ràng tên tác giả,

tên công trình, thời gian, địa điểm công bố.

3. Mọi sao chép không hợp lệ,vi phạm quy chế đào tạo,hay gian trá,tôi xin chịu

hoàn toàn trách nhiệm.

Sinh viên,

Lã Xuân Tâm

Trần Canh Ngọ

NHẬN XÉT CỦA GIẢNG VIÊN HƢỚNG DẪN

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

..........................................................................................................................................

MỤC LỤC

MỞ ĐẦU ........................................................................................................................ 1

GIỚI THIỆU CHUNG ................................................................................................... 1

I. Giới thiệu về đơn vị thực tập ................................................................................... 1

II. Bối cảnh đề tài........................................................................................................ 4

III.Mục đích và ý nghĩa của đề tài .............................................................................. 5

IV.Nội dung của đề tài gồm 4 phần chính .................................................................. 6

CHƢƠNG 1 .................................................................................................................... 7

CÁC NHIỆM VỤ ĐƢỢC GIAO ................................................................................... 7

I.Tìm hiểu về đơn vị thực tập ..................................................................................... 7

II. Đề tài nghiên cứu ................................................................................................... 7

CHƢƠNG 2 .................................................................................................................... 9

CÁC CÔNG NGHỆ ĐÃ NGHIÊN CỨU ...................................................................... 9

I.TỔNG QUAN VỀ HỆ ĐIỀU HÀNH LINUX ......................................................... 9

I.1 Giới thiệu về hệ điều hành Linux ...................................................................... 9

I.2 Kiến trúc hệ điều hành Linux .......................................................................... 10

I.2.1 Hạt Nhân (kernel) ..................................................................................... 10

I.2.2 Shell .......................................................................................................... 11

I.2.3 Các tiện ích ............................................................................................... 12

I.2.4 Chƣơng trình ứng dụng ............................................................................. 12

I.3 Các đặc tính cơ bản của Linux ........................................................................ 12

I.3.1 Đa tiến trình .............................................................................................. 12

I.3.2 Tốc độ cao ................................................................................................. 13

I.3.3 Bộ nhớ ảo .................................................................................................. 13

I.3.4 Sử dụng chung thƣ viện ............................................................................ 13

I.3.5 Sử dụng các chƣơng trình xử lý văn bản .................................................. 13

I.3.6 Sử dụng giao diện cửa sổ .......................................................................... 13

I.3.7 Network Information Service (NIS) ........................................................ 14

I.3.8 Lập lịch hoạt động chƣơng trình, ứng dụng.............................................. 14

I.3.9 Các tiện ích sao lƣu dữ liệu ....................................................................... 14

I.3.10 Hỗ trợ nhiều ngôn ngữ lập trình.............................................................. 14

I.4 Cấu trúc hệ thống tập tin/thƣ mục trong Linux ............................................... 15

I.5 Quản lý tài khoản và phân quyền trên Linux .................................................. 15

I.5.1 Quản lý tài khoản trong Linux .................................................................. 15

I.5.2 Phân quyền ngƣời dùng trên hệ thống tập tin ........................................... 16

I.6 Ƣu và nhƣợc điểm của hệ điều hành Linux ..................................................... 20

I.7 Một số bản phân phối(Distro) Linux phổ biến ................................................ 21

II. TỔNG QUAN VỀ FIREWALL ......................................................................... 27

II.1 Khái niệm tƣờng lửa(firewall) ....................................................................... 27

II.2. Chức năng của tƣờng lửa .............................................................................. 27

II.3. Phân loại tƣờng lửa ....................................................................................... 28

II.3.1 Packet Filtering ( tƣờng lửa lọc gói tin) .................................................. 28

II.3.2 Application firewall ( Tƣờng lửa ứng dụng ) .......................................... 29

II.3.3 Statefull Firewall (Tƣờng lửa trạng thái)................................................. 31

CHƢƠNG 3 .................................................................................................................. 32

TÌM HIỂU VỀ IPTABLES TRÊN HỆ ĐIỀU HÀNH LINUX .................................... 32

I.Giới thiệu về Iptables ............................................................................................. 32

I.1 Khái niệm Iptables ........................................................................................... 32

I.2 Cài đặt Iptables ................................................................................................ 33

I.3 Cú pháp Iptables .............................................................................................. 33

I.4 Cấu trúc của Iptables ....................................................................................... 34

I.5 Quá trình chuyển dữ liệu qua Netfilter ............................................................ 36

I.6 Target và Jumps trong iptables ........................................................................ 39

I.7 Các tham số dòng lệnh thƣờng dùng trong iptables ........................................ 41

I.8 Sử dụng các chuỗi tự định nghĩa ..................................................................... 44

I.9 NAT trong iptables .......................................................................................... 45

I.10 Ví dụ về một số rule trên Iptables ................................................................. 47

II.Triển khái iptables trên Redhat ............................................................................. 48

II.1 Mô hình triển khai .......................................................................................... 48

II.2 Thiết lập iptables trên redhat .......................................................................... 48

II.2.1 Cấm ssh đến firewall ................................................................................... 48

II.2.2 Cấm Ping đến Firewall ................................................................................ 50

KẾT LUẬN .................................................................................................................. 53

TÀI LIỆU THAM KHẢO ............................................................................................ 54

DANH MỤC HÌNH ẢNH , BẢNG BIỂU

Hình 2. 1 Kiến trúc hệ điều hành linux ........................................................................ 10

Hình 2. 2 Cấu trúc thƣ mục hệ thống của Linux .......................................................... 15

Hình 2. 3 Quyền trên tập tin ......................................................................................... 17

Hình 2. 4 Quyền đƣợc biểu diễn dƣới dạng số ............................................................. 18

Hình 2. 5 Red Hat ......................................................................................................... 22

Hình 2. 6 Debian .......................................................................................................... 23

Hình 2. 7 Ubuntu .......................................................................................................... 23

Hình 2. 8 Gentoo .......................................................................................................... 24

Hình 2. 9 Knoppix ........................................................................................................ 24

Hình 2. 10 Slackware ................................................................................................... 25

Hình 2. 11 Mô hình tƣởng lửa cơ bản .......................................................................... 27

Hình 2. 12 Packet Filtering .......................................................................................... 29

Hình 2. 13 Application firewall .................................................................................... 30

Hình 2. 14 Statefull Firewall ........................................................................................ 31

Hình 3. 1 Vị trí của Iptables ......................................................................................... 33

Hình 3. 2 Quá trình xử lý gói tin bảng filter ................................................................ 35

Hình 3. 3 Quá trình xử lý gói tin trong bảng NAT ....................................................... 35

Hình 3. 4 Quá trình xử lý gói tin trong bảng Mangle................................................... 35

Hình 3. 5 Mô hình hoạt động của Iptables ................................................................... 36

Hình 3. 6 Trình tự xử lý gói tin trên Iptables ............................................................... 38

Hình 3. 7 Sơ đồ mạng công ty A .................................................................................. 48

Bảng 1. Miêu tả các target mà Iptables thường dùng nhất .......................................... 39

Bảng 2. Các tham số chuyển mạch quan trọng của iptables ....................................... 41

Bảng 3. Các điều kiện TCP và UDP thông dụng ......................................................... 41

Bảng 4. Điều kiện ICMP ............................................................................................. 42

Bảng 5. Các điều kiện mở rộng thông dụng ................................................................. 43

Bảng 6. Danh sách các lệnh (Queues) ......................................................................... 45

Bảng 7 NAT trong iptables ........................................................................................... 45

Tìm hiểu và cấu hình IPTables trên hệ điều hành linux

SVTH: Lã Xuân Tâm,Trần Canh Ngọ - Lớp 11TLT Trang 1

MỞ ĐẦU

GIỚI THIỆU CHUNG

I. Giới thiệu về đơn vị thực tập

Tên đơn vị thực tập

Trung tâm Đào tạo VDC Training Đà Nẵng

Địa chỉ,điện thoại trung tâm VDC

Tầng 2,3 tòa nhà số 59 Trần Phú – Thành Phố Đà Nẵng

Điện thoại : 0511.3840.842 – Email: [email protected]

Hoạt động của trung tâm

Trung tâm Đào tạo VDC Training là đơn vị thuộc VDC - công ty thành viên

tập đoàn VNPT. VDC là doanh nghiệp hàng đầu trong lĩnh vực cung cấp dịch vụ

Internet, có nhiều kinh nghiệm trong lĩnh vực tƣ vấn, thiết kế, triển khai các hệ thống

hạ tầng công nghệ thông tin và chuyển giao công nghệ.

VDC Training đã có hơn 7 năm kinh nghiệm trong lĩnh vực đào tạo CNTT

đẳng cấp cao. Khởi đầu từ hoạt động đào tạo triển khai lắp đặt, hỗ trợ các dịch vụ

Internet, Truyền số liệu, Tin học của VNPT/VDC cho các khách hàng, đại lý, đối tác

và các viễn thông tỉnh/thành phố, VDC Training đã thành công trong việc phát triển

thành một trung tâm đào tạo CNTT có uy tín hàng đầu ở khu vực miền Trung và Tây

Nguyên nói riêng và cả nƣớc nói chung, không ngừng khẳng định là một đơn vị đào

tạo đẳng cấp chuyên nghiệp, mang đến các chƣơng trình đào tạo theo chuẩn mực quốc

tế cũng nhƣ đáp ứng tốt các chƣơng trình đào tạo theo yêu cầu của các tổ chức lớn,

cung cấp nhiều khoá học khác nhau nhằm giúp học viên nâng cao kỹ năng làm việc

cũng nhƣ mang lại lợi ích đáng kể cho các tổ chức của họ. Tính đến thời điểm hiện

nay, VDC Training là đối tác đào tạo ủy quyền chính thức của Cisco, CompTIA,

Pearson VUE, Prometric tại Việt Nam và cũng là thành viên mạng lƣới đối tác

Microsoft.



Tiếp nối thành công ở mảng đào tạo các chƣơng trình IT quốc tế và đặc biệt là

để đáp ứng nhu cầu của khách hàng, từ năm 2011 VDC Training triển khai đào tạo các

chƣơng trình về quản trị, kỹ năng mềm và ISO 27001, ISO 20000.

VDC Training tự hào có đội ngũ giảng viên là các chuyên gia có trình độ

chuyên môn cao, hiểu và nắm rõ phƣơng pháp sƣ phạm, nhiệt tình trong công tác đào

tạo; đã đƣợc cấp các chứng chỉ Quốc tế của các tổ chức hàng đầu nhƣ Cisco,

Microsoft, Oracle, Sun, CompTIA, SCP, EC Council ... tuy nhiên sự khác biệt cũng là

tài sản quý nhất của VDC Training chính là kinh nghiệm làm việc thực tế của giảng

viên trong môi trƣờng của một đơn vị cung cấp dịch vụ IP/Internet/Tin học hàng đầu.

Đội ngũ giảng viên của VDC Training với nhiều năm kinh nghiệm làm việc trong môi

trƣờng thực tế không những cung cấp cho học viên đầy đủ kiến thức lý thuyết mà còn

tƣ vấn, hỗ trợ học viên vận dụng và giải quyết các tình huống thực tế. Sau khi tốt

nghiệp, học viên có khả năng đáp ứng ngay các yêu cầu công việc thực tiễn. Chất

lƣợng đào tạo thể hiện rõ qua kết quả thi của học viên: sau khi hoàn thành các chƣơng

trình đào tạo, trên 90% học viên thi đạt điểm cao các chứng chỉ quốc tế ở ngay lần thi

đầu tiên.

Hiện nay, đội ngũ giảng viên của VDC Training đã đạt các chứng chỉ: CCSI,

CCNA, CCNP, CCSP, CCAI, CCDP, CCIE Writtten, CWNA, SCSA, MCSE,

MCITP, MCTS, MCT, CCSE, CompTIA Linux+, CompTIA Security+, SCNS,

SCNP, SCNA, SCPI, CEH, CEI, Oracle DBA 10g, 11g v.v... Không dừng lại và

không thỏa mãn với những gì đạt đƣợc, các giảng viên VDC Training vẫn thƣờng

xuyên học tập, tham dự các khóa đào tạo nâng cao, các hội thảo công nghệ chuyên sâu

trong và ngoài nƣớc để cập nhật kiến thức mới và trau dồi kỹ năng mềm, nghiệp vụ sƣ

phạm.

Đội ngũ giảng viên giỏi chuyên môn nghiệp vụ, nhiều kinh nghiệm, cơ sở vật

chất đạt tiêu chuẩn quốc tế cùng với nội dung đào tạo bổ ích đã giúp cho VDC

Training trở thành đối tác đào tạo nguồn nhân lực cho nhiều đơn vị hoạt động trong

các lĩnh vực khác nhau nhƣ

Tập đoàn Bƣu chính Viễn thông Việt Nam – VNPT



Trung tâm Thông tin Di động khu vực III - VMS3

Trung tâm Viễn thông Quốc tế khu vực III - VTI3

Các Viễn thông tỉnh/thành phố

Cụm cảng hàng không miền Trung

Cục Hải quan Thành phố Đà Nẵng

Viện Tin học Doanh nghiệp - CN miền Trung

Trung tâm Viễn thông Điện lực miền Trung

Công ty Cổ phần Phần mềm FPT

Tập đoàn Dƣợc phẩm Viễn Đông

Thành ủy Đà Nẵng

Sở Giáo dục và Đào tạo Thành phố Đà Nẵng

Cục thuế Đà Nẵng

Ban Quản lý Dự án Phát triển CNTT& TT - Sở Thông tin và Truyền

thông thành phố Đà Nẵng

Công ty TNHH MTV Lọc hóa dầu Bình Sơn

Ban quản lý dự án CNTT-TT thuộc Sở Thông tin và Truyền thông Đà

Nẵng

Sở Thông tin và Truyền thông Khánh Hòa

Sở Thông tin và Truyền thông tỉnh Thừa Thiên Huế

Sở Thông tin và Truyền thông Bình Định

Sở Thông tin và Truyền thông tỉnh Kon Tum

Trung tâm tích hợp dữ liệu tỉnh Phú Yên

Các tổ chức ngân hàng, khác v.v...



Sứ mệnh

- Truyền đạt, hƣớng dẫn học viên/khách hàng các kiến thức, kỹ năng

CNTT chuyên sâu ở đẳng cấp quốc tế về chƣơng trình và chất lƣợng đào

tạo. Góp phần phát triển nguồn nhân lực CNTT Việt Nam đạt tiêu chuẩn

quốc tế.

- Xây dựng một môi trƣờng học tập thân thiện, cởi mở với cơ sở vật chất

hiện đại, đủ sức hấp dẫn để quy tụ đƣợc nhân lực CNTT trong và ngoài

nƣớc về cộng tác nghiên cứu, thử nghiệm, trao đổi học thuật, kinh nghiệm

với nhau.

- Tạo điều kiện cho mọi thành viên của VDC Training phát triển tối đa

năng lực cá nhân, có cuộc sống sung túc về vật chất, hạnh phúc về tinh thần.

Tầm nhìn

VDC Training trở thành:

Một tổ chức hàng đầu ở Việt Nam nói riêng và ở khu vực Đông Nam Á

nói chung trong lĩnh vực tƣ vấn và đào tạo CNTT theo các chƣơng trình quốc

tế.

Một trong những môi trƣờng làm việc tốt nhất cho nhân lực CNTT Việt

Nam.

II. Bối cảnh đề tài

Nhƣ chúng ta đã biết, Internet cho phép chúng ta truy cập tới các nơi

trên thế giới thông qua một số dịch vụ. Khi máy tính kết nối với Internet từ môi

trƣờng mạng cục bộ, khi đó tất cả các giao tiếp của mạng nội bộ với thế giới

bên ngoài coi nhƣ là bỏ ngỏ, mọi thông tin dữ liệu trên máy tính của mạng nội

bộ không có sự bảo vệ. Điều này đƣợc ví nhƣ nhà không có khóa cửa, khi đó

mọi đồ đạc trong nhà dĩ nhiên không an toàn.. Do vậy việc bảo vệ hệ thống là

một vấn đề chúng ta đáng phải quan tâm.Khi nói đến vấn đề bảo mật, hầu hết

các chuyên gia bảo mật đều chú trọng đến sự an toàn của hệ thống mạng và hệ



điều hành. Để hạn chế tình trạng này và cũng là để góp phần làm tăng khả năng

bảo mật thì việc xây dựng hệ thống tƣờng lửa là điều kiện không thể thiếu.

Tƣờng lửa có thể đƣợc tích hợp với phần cứng hoặc phần mềm giúp bạn

tránh đƣợc sự tấn công của các hacker, kiểm soát truy cập... Khi truy cập vào

mạng Internet. Nếu bạn sử dụng máy tính cá nhân tại nhà hoặc bạn là một

doanh nghiệp nhỏ, sử dụng tƣờng lửa là cách quan trọng và hiệu quả nhất để

bảo vệ máy tính của bạn.

III.Mục đích và ý nghĩa của đề tài

Có rất nhiều loại tƣờng lửa khác nhau nhƣng chúng em đã quyết định

chọn đề tài về tìm hiểu và cấu hình Iptables trên hệ điều hành linux. Bởi vì hệ

điều hành Linux ngày càng trở lên phổ biến,đƣợc sử dụng nhiều trên các hệ

thống máy chủ.Mặt khác Iptables là một tƣờng lửa ứng dụng lọc gói dữ liệu rất

mạnh, miễn phí và có sẵn trên Linux..Nó cung cấp các tính năng sau:

Tích hợp tốt với kernel của Linux.

Có khả năng phân tích gói tin hiệu quả.

Lọc gói tin dựa vào địa chỉ MAC (Media Access Control) và một số cờ

hiệu trong TCP Header

Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống

Cung cấp kỹ thuật NAT (Network Address Translation)

Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS



IV.Nội dung của đề tài gồm 4 phần chính

Tìm hiểu tổng quan về hệ điều hành linux

Tổng quan về hệ thống tƣờng lửa

Tìm hiểu và cấu hình Iptables trên hệ điều hành linux

Kết luận



CHƢƠNG 1

CÁC NHIỆM VỤ ĐƢỢC GIAO

I.Tìm hiểu về đơn vị thực tập

Trong ngày thực tập đầu tiên, chúng em đƣợc làm quen với các thầy,

anh chị tham gia hƣớng dẫn chúng em trong quá trình thực tập. Chúng em đƣợc

đi tham quan các phòng ban,phòng học,thực hành và các trang thiết bị máy

móc ở trung tâm. Trong buổi gặp gỡ, ngoài việc đƣợc giới thiệu về VDC

Training/VDC - đơn vị thuộc VDC - công ty thành viên tập đoàn VNPT cũng

nhƣ phổ biến một số nội quy, quy định của VDC Training - nơi chúng em sẽ

thực tập tại đây. Chúng em còn đƣợc giới thiệu về một số định hƣớng nghiên

cứu, trải nghiệm trong thời gian thực tập tại VDC Training.

Chúng em rất hào hứng với những xu hƣớng nghiên cứu khoa học mà

giảng viên VDC Training giới thiệu, bởi đây là những xu hƣớng mới và đang

đƣợc quan tâm nghiên cứu nhiều trên thế giới.

Cũng trong buổi gặp gỡ, chúng em đã thoải mái trao đổi, bày tỏ mong

muốn tham gia nghiên cứu những đề tài đầy mới mẻ này cũng nhƣ cơ hội tiếp

cận môi trƣờng thực tế, năng động trong lĩnh vực công nghệ thông tin - viễn

thông trong thời gian các bạn thực tập tại VDC Training.

II. Đề tài nghiên cứu

Sau khi đƣợc thầy Th.S Nguyễn Song Tùng giới thiệu về một số định

hƣớng nghiên cứu đang đƣợc quan tâm hiện nay. Chúng em đã chọn cho mình

hƣớng nghiên cứu về tìm hiểu hệ điều hành linux mà cụ thể là tìm hiểu và cấu

hình iptables trên hệ điều hành linux.

Iptables là một phần mềm tƣờng lửa phổ biến và cơ bản nhất trong HĐH

Linux. Iptables là một tƣờng lửa ứng dụng lọc gói dữ liệu rất mạnh gồm 2 phần

là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. Iptables chịu trách

nhiệm giao tiếp giữa ngƣời dùng và Netfilter để đẩy các luật của ngƣời dùng



vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter

làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ thống.



CHƢƠNG 2

CÁC CÔNG NGHỆ ĐÃ NGHIÊN CỨU

Trong quá trình thực tập tại VDC Training Đà Nẵng, sau tuần đầu tiên

đƣợc tham quan và tìm hiểu về trung tâm. Sang tuần thứ hai, chúng em đƣợc

giao nhiệm vụ học tập và nghiên cứu công nghệ. Chúng em đƣợc phân vào các

nhóm khác nhau tùy theo công nghệ đã lựa chọn. Nhóm em có 2 thành viên

nghiên cứu về iptables trên hệ điều hành linux.

I.TỔNG QUAN VỀ HỆ ĐIỀU HÀNH LINUX

I.1 Giới thiệu về hệ điều hành Linux

Linux là tên gọi của một hệ điều hành máy tính và cũng là tên hạt

nhân của hệ điều hành.

Phiên bản Linux đầu tiên do Linus Torvalds viết vào năm 1991, lúc ông

còn là một sinh viên của Đại học Helsinki tại Phần Lan. Ông làm việc một cách

hăng say trong vòng 3 năm liên tục và cho ra đời phiên bản Linux 1.0 vào năm

1994. Bộ phận chủ yếu này đƣợc phát triển và tung ra trên thị trƣờng dƣới bản

quyền GNU General Public License. Do đó mà bất cứ ai cũng có thể tải và xem

mã nguồn của Linux.

Một cách chính xác, thuật ngữ ―Linux‖ đƣợc sử dụng để chỉ Nhân Linux,

nhƣng tên này đƣợc sử dụng một cách rộng rãi để miêu tả tổng thể một hệ điều

hành giống Unix (còn đƣợc biết đến dƣới tên GNU/Linux) đƣợc tạo ra bởi việc

đóng gói nhân Linux cùng với các thƣ viện và công cụ GNU, cũng nhƣ là các

bản phân phối Linux. Thực tế thì đó là tập hợp một số lƣợng lớn các phần mềm

nhƣ máy chủ web, các ngôn ngữ lập trình, các hệ quản trị cơ sở dữ liệu, các

môi trƣờng làm việc desktop nhƣ GNOME và KDE, và các ứng dụng thích hợp

cho công việc văn phòng nhƣ OpenOffice hay LibreOffice.

Khởi đầu, Linux đƣợc phát triển cho dòng vi xử lý i386 Intel, hiện tại hệ

điều hành này hỗ trợ một số lƣợng lớn các kiến trúc vi xử lý, và đƣợc sử dụng



trong nhiều ứng dụng khác nhau từ máy tính cá nhân cho tới các siêu máy tính

và các thiết bị nhúng nhƣ là các máy điện thoại di động.

Ban đầu, Linux đƣợc phát triển và sử dụng bởi những ngƣời say mê. Tuy

nhiên, hiện nay Linux đã có đƣợc sự hỗ trợ bởi các công ty lớn nhƣ IBM và

Hewlett-Packard, đồng thời nó cũng bắt kịp đƣợc các phiên bản Unix độc

quyền và thậm chí là một thách thức đối với sự thống trị của

Microsoft Windows trong một số lĩnh vực. Sở dĩ Linux đạt đƣợc những thành

công một cách nhanh chóng là nhờ vào các đặc tính nổi bật so với các hệ thống

khác: chi phí phần cứng thấp, tốc độ cao (khi so sánh với các phiên bản Unix

độc quyền) và khả năng bảo mật tốt, độ tin cậy cao (khi so sánh với Windows)

cũng nhƣ là các đặc điểm về giá thành rẻ, không bị phụ thuộc vào nhà cung

cấp. Một đặc tính nổi trội của nó là đƣợc phát triển bởi một mô hình phát triển

phần mềm nguồn mở hiệu quả.

Tuy nhiên, hiện tại số lƣợng phần cứng đƣợc hỗ trợ bởi Linux vẫn còn rất

khiêm tốn so với Windows vì các trình điều khiển thiết bị tƣơng thích với

Windows nhiều hơn là Linux. Nhƣng trong tƣơng lai số lƣợng phần cứng đƣợc

hỗ trợ cho Linux sẽ tăng lên.

I.2 Kiến trúc hệ điều hành Linux

Hình 2. 1 Kiến trúc hệ điều hành linux

I.2.1 Hạt Nhân (kernel)



Là trung tâm điều khiển của hệ điều hành Linux, chứa các mã nguồn điều

khiển hoạt động của toàn bộ hệ thống. Hạt nhân đƣợc phát triển không ngừng,

thƣờng có 2 phiên bản mới nhất, một bản dạng phát triển mới nhất và một bản

ổn định mới nhất. Kernel đƣợc thiết kế theo dạng module, do vậy kích thƣớc

thật sự của Kernel rất nhỏ. Chúng chỉ tải những bộ phận cần thiết lên bộ nhớ,

các bộ phận khác sẽ đƣợc tải nếu có yêu cầu sử dụng. Nhờ vậy so với các hệ

điều hành khác Linux không sử dụng lãng phí bộ nhớ nhờ không tải mọi thứ

lên mà không cần quan tâm nó có sử dụng không.

Kernel đƣợc xem là trái tim của hệ điều hành Linux, ban đầu nhân đƣợc

phát triển cho các CPU Intel 80386. Điểm mạnh của loại CPU này là khả năng

quản lý bộ nhớ. Kernel của Linux có thể truy xuất tới toàn bộ tính năng phần

cứng của máy. Yêu cầu của các chƣơng trình cần rất nhiều bộ nhớ, trong khi hệ

thống có ít bộ nhớ, hệ điều hành sử dụng không gian đĩa hoán đổi (swap space)

để lƣu trữ các dữ liệu xử lý của chƣơng trình. Swap space cho phép ghi các

trang của bộ nhớ xuất các vị trí dành sẵn trong đĩa và xem nó nhƣ phần mở

rộng của vùng nhớ chính. Bên cạnh sử dụng swap space, Linux còn hỗ trợ các

đặc tính sau:

- Bảo vệ vùng nhớ giữa các tiến trình, điều này không cho phép một tiến

trình làm tắt toàn bộ hệ thống.

- Chỉ tải các chƣơng trình khi có yêu cầu.

I.2.2 Shell

Cung cấp các tập lệnh cho ngƣời dùng thao tác với kernel để thực hiện

công việc. Shell đọc các lệnh từ ngƣời dùng và xử lý. Ngoài ra shell còn cung

cấp một số đặc tính khác nhƣ : chuyển hƣớng xuất nhập, ngôn ngữ lệnh để tạo

các tập tin tƣơng tự nhƣ bat trong DOS.

Có nhiều Shell đƣợc sử dụng trong Linux. Có nhiều loại shell đƣợc dùng

trong Linux. Điểm quan trọng để phân biệt các shell khác nhay là bộ lệnh của

mỗi shell. Ví dụ , C shell thì sử dụng các lệnh tƣơng tự ngôn ngữ C, Bourne thì

dùng ngôn ngữ lệnh khác…



Shell sử dụng chính trong Linux là GNU Bourne Again Shell ( bash ).

Shell này là shell phát triển từ Bourne Shell, là shell sử dụng chính trong các hệ

thông Unix, với nhiều tính năng mới nhƣ : điều khiển các tiến trình, các lệnh

history, tên tập tin dài….

I.2.3 Các tiện ích

Các tiện ích đƣợc ngƣời dùng thƣờng xuyên sử dụng. Nó dùng cho nhiều

thứ nhƣ thao tác tập tin, đĩa, nén, sao lƣu tập tin, … Tiện ích trong Linux có thể

là các lệnh thao tác hay các chƣơng trình giao diện đồ họa. Hầu hết các tiện ích

dùng trong Linux là sản phẩm của chƣơng trình GNU. Linux có sẵn rất nhiều

tiện ích nhƣ trình biên dịch, trình gỡ lỗi, soạn văn bản,… Tiện ích có thể đƣợc

sử dụng bởi ngƣời dùng hoặc hệ thống. Một số tiện ích đƣợc xem là chuẩn

trong hệ thống Linux nhƣ passwd, ls, pa, vi …

I.2.4 Chƣơng trình ứng dụng

Khác với các tiện ích, các ứng dụng nhƣ chƣơng trình word, hệ quản trị cơ

sở dữ liệu,… là các chƣơng trình có độ phức tạp lớn và đƣợc các nhà sản xuất

viết ra.

I.3 Các đặc tính cơ bản của Linux

Linux hỗ trợ các tính năng cơ bản thƣờng thấy trong các hệ điều hành

Unix và nhiều tính năng khác mà không hệ điều hành nào có đƣợc. Linux cung

cấp môi trƣờng phát triển một cách đầy đủ bao gồm các thƣ viện chuẩn, các

công cụ lập trình, trình biên dịch, debug,… nhƣ bạn mong đợi ở các hệ điều

hành Unix khác. Hệ thống Linux trội hơn các hệ thống khác trên nhiều mặt mà

ngƣời dùng quan tâm nhƣ sự phát triển tốc độ, dễ sử dụng và đặc biệt là sự phát

triển và hỗ trợ mạng. Một số đặc điểm của Linux chúng ta cần quan tâm:

I.3.1 Đa tiến trình

Là đặc tính cho phép ngƣời dùng thực hiện nhiều tiến trình đồng thời. Ví

dụ bạn vừa in, vừa soạn văn bản, vừa nghe nhạc,… cùng một lúc. Máy tính sử

dụng chỉ một CPU nhƣng xử lý đồng thời nhiều tiến trình cùng lúc. Thực chất



là tại một thời điểm CPU chỉ xử lý đƣợc một mệnh lệnh, việc thực hiện cùng

lúc nhiều công việc là giả tạo bằng cách làm việc xen kẽ và chuyển đổi trong

thời gian nhanh. Do đó ngƣời dùng cứ ngỡ là thực hiện đồng thời.

I.3.2 Tốc độ cao

Hệ điều hành Linux đƣợc biết đến nhƣ một hệ điều hành có tốc độ xử lý

cao, bởi vì nó thao tác rất hiệu quả đến tài nguyên nhƣ: bộ nhớ, đĩa,…

I.3.3 Bộ nhớ ảo

Khi hệ thống sử dụng quá nhiều chƣơng trình lớn dẫn đến không đủ bộ

nhớ chính (RAM) để hoạt động. Trong trƣờng hợp đó, Linux dung bộ nhớ từ

đĩa vào partition swap. Hệ thống sẽ đƣa các chƣơng trình hoặc dữ liệu nào

chƣa có yêu cầu truy xuất xuống vùng swap này, khi có nhu cầu thì hệ thống

chuyển lên lại bộ nhớ chính.

I.3.4 Sử dụng chung thư viện

Hệ thống Linux có rất nhiều thƣ viện dùng chung cho nhiều ứng dụng.

Điều này sẽ giúp hệ thống tiết kiệm đƣợc tài nguyên cũng nhƣ thời gian xử lý.

I.3.5 Sử dụng các chương trình xử lý văn bản

Chƣơng trình xử lý văn bản là một trong những chƣơng trình rất cần thiết

đối với ngƣời sử dụng. Linux cung cấp nhiều chƣơng trình cho phép ngƣời

dùng thao tác với văn bản nhƣ vi, emacs, nroff.

I.3.6 Sử dụng giao diện cửa sổ

Giao diện cửa sổ dùng hệ thống X Window, có giao diện nhƣ hệ điều hành

Windows. Với hệ thống này ngƣời dùng rất thuận tiện khi làm việc trên hệ

thống. X Window System hay còn gọi tắt là X đƣợc phát triển tại viện

Massachusetts Institute of Technology. Nó đƣợc phát triển để tạo ra môi trƣờng

làm việc không phụ thuộc phần cứng. X chạy dƣới dạng client – server. Hệ

thống X Window hoạt động qua hai bộ phận:

- Phần server còn gọi là X server.



- Phần client đƣợc gọi là X Window manager hay desktop environment.

- X Server sử dụng trong hầu hết các bản phân phối của Linux là Xfree86.

Client sử dụng thƣờng là KDE (K Desktop Environment) và GNOME (GNU

Network Object Model Environment).

Dịch vụ Samba sử dụng tài nguyên đĩa, máy in với Windows. Tên Samba

xuất phát từ giao thức Server Message Block (SMB) mà Window sử dụng để

chia sẻ tập tin và máy in. Samba là chƣơng trình sử dụng giao thức SMB chạy

trên Linux. Sử dụng Samba bạn có thể chia sẻ tập tin và máy in với các máy

Windows

I.3.7 Network Information Service (NIS)

Dịch vụ NIS cho phép chia sẻ các tập tin password và group trên mạng.

NIS là một hệ thống cơ sở dữ liệu dạng client – server, chứa các thông tin của

ngƣời dùng và dùng để chứng thực ngƣời dùng. NIS xuất phát từ hãng Sun

Microsystem với tên là Yellow Pages.

I.3.8 Lập lịch hoạt động chương trình, ứng dụng

Chƣơng trình lập lịch trong Linux xác định các ứng dụng, script thực thi

theo một sự sắp xếp của ngƣời dùng nhƣ: at, cron, batch.

I.3.9 Các tiện ích sao lưu dữ liệu

Linux cung cấp các tiện ích nhƣ tar, cpio và dd để sao lƣu và backup dữ

liệu. Red Hat Linux còn cung cấp tiện ích Backup and Restore System Unix

(BRU) cho phép tự động backup dữ liệu theo lịch.

I.3.10 Hỗ trợ nhiều ngôn ngữ lập trình

Linux cung cấp một môi trƣờng lập trình Unix đầy đủ bao gồm các thƣ

viện chuẩn, các công cụ lập trình, trình biên dịch, chƣơng trình debug mà bạn

có thể tìm thấy trong các hệ điều hành Unix khác. Ngôn ngữ chủ yếu sử dụng

trong các hệ điều hành Unix là C và C++. Linux dùng trình biên dịch cho C và

C++ là gcc, chƣơng trình biên dịch này rất mạnh, hỗ trợ nhiều tính năng. Ngoài



C, Linux cũng cung cấp các trình biên dịch, thông dịch cho các ngôn ngữ khác

nhƣ Pascal, Fortan, Java, …

I.4 Cấu trúc hệ thống tập tin/thƣ mục trong Linux

Trong Linux không có khái niệm ổ đĩa. Sau quá trình khởi động, toàn bộ

các thƣ mục và tập tin đƣợc kết gắn và tạo thành một hệ thống tập tin thống

nhất, bắt đầu từ gốc ―/‖.

Hình 2. 2 Cấu trúc thƣ mục hệ thống của Linux

I.5 Quản lý tài khoản và phân quyền trên Linux

I.5.1 Quản lý tài khoản trong Linux

a) Tài khoản ngƣời dùng

Cũng giống nhƣ Windows,Linux cũng có các loại tài khoản khác nhau,

thƣờng đƣợc chia làm 2 loại chính : tài khoản ngƣời dùng bình thƣờng và tài

khoản quản trị (root ).

Root là tài khoản quản trị có ảnh hƣởng rất lớn đối với an toàn của hệ

thống, tài khoản root có các các quyền nhƣ: tạo tài khoản ngƣời dùng, cài đặt

phần mềm, thêm, xóa, sửa đổi các tài khoản…

Mỗi ngƣời sử dụng trên hệ thống đƣợc mô tả qua các thông tin sau:

- username : tên ngƣời sử dụng

- password : mật khẩu (nếu có)



- uid : số nhận dạng (user identify number )

- gid : số của nhóm(group identify number )

- comment : chú thích

- Thƣ mục chủ của tài khoản (home directory )

- Shell đăng nhập (chƣơng trình chạy lúc bắt đầu phiên làmviệc)

Các thông tin trên đƣợc chứa trong tập tin /etc/passwd

b) Tài khoản nhóm ngƣời dùng

Một nhóm ngƣời sử dụng đƣợc mô tả bằng các thông tin sau:

- groupname : tên của nhóm

- gid : số của nhóm (gid: group identify number)

- danh sách các tài khoản thuộc nhóm

Các thông tin trên đƣợc chứa trong tập tin /etc/group

I.5.2 Phân quyền ngƣời dùng trên hệ thống tập tin

Một trong những thành phần chính của họ *nix là hệ thống quyền hạn

truy cập (Permission) cho mọi đối tƣợng (file (-), thƣ mục (d), link (l)). Hệ

thống này đóng 1 vai trò quan trọng trong việc cung cấp mức an ninh cao và

tính ổn định cho HDH Linux.

Mỗi 1 đối tƣợng gắn với 3 loại quyền: read (đọc), write (ghi) và execute

(thực thi). Và mỗi 1 quyền này lại đƣợc chỉ định cho 3 loại user:

+ owner: chủ sở hữu của đối tƣợng – mặc định ban đầu là user tạo ra đối tƣợng

đó

+ group: 1 nhóm các user chia sẻ chung quyền hạn truy cập - mặc định ban đầu

là group mà owner ở trên thuộc về.

+ other: tất cả các user không thuộc 2 nhóm trên.



Hình 2. 3 Quyền trên tập tin

User root có đủ cả 3 quyền đối với mọi đối tƣợng trên hệ thống. Ngoài

ra, root có thể thay đổi (cấp hoặc tƣớc) quyền hạn truy cập đối tƣợng cho bất

kỳ user nào và còn có thể chuyển quyền sở hữu đối tƣợng qua lại giữa các user.

Ý nghĩa của 3 loại quyền này là:

+ đối với thư mục:

- Read: chỉ cho phép xem tên và các thuộc tính của các đối tƣợng mà nó

chứa

- Write: cho phép tạo và xóa các đối tƣợng trong thƣ mục

- Execute: chỉ cho phép truy cập vào thƣ mục sử dụng lệnh cd

+ đối với file:

- Read: chỉ cho phép xem nội dung của file

- Write: cho phép chỉnh sửa nội dung, xóa file



- Execute: chỉ cho phép chạy file này, thƣờng đƣợc gán các file nhị phân

thực thi (đã đƣợc biên dịch từ file mã nguồn) tƣơng tự nhƣ file .exe trong

Windows

Các quyền cho 1 đối tƣợng đƣợc biểu diễn nhƣ sau:

- Read: ký hiệu là r hay số 4 hệ bát phân

- Write: ký hiệu là w hay số 2 hệ bát phân

- Execute: ký hiệu là e hay số 1 hệ bát phân

Vì mỗi đối tƣợng có 3 loại quyền cho mỗi loại user nên có tất cả 9 bit

thông tin về quyền hạn tƣơng ứng với mỗi đối tƣợng. Mỗi bit trong 9 bit này

nhận 1 trong 2 giá trị: đƣợc phép (allow) hoặc bị cấm (deny).

Hình 2. 4 Quyền đƣợc biểu diễn dƣới dạng số

Các quyền cho 1 đối tƣợng đƣợc biểu diễn theo 2 cách

Cách 1 gồm 1 chuỗi 10 ký tự:

- Ký tự đầu thể hiện loại file: d cho thƣ mục (file đặc biệt), - cho

file thông thƣờng, l cho các link (hard link, symbolic link)

- Ba ký tự tiếp là các quyền cho owner, kế đến là 3 ký tự biểu

diễn các quyền cho group, còn lại 3 ký tự cuối dành cho other

- Quyền đƣợc phép read sẽ là r, write là w, e là execute. Các

quyền bị cấm đƣợc biểu diễn bằng dấu –



Sử dụng lệnh ls –l filename để biết thông tin về các quyền. VD

-rwxrw-r--

+ đây là file thông thƣờng

+ owner có quyền read, write, execute; group có thể read, write; other

chỉ read

drwxr-xr-x

+ đây là thƣ mục

+ owner có quyền read+write+execute; cả group và other chỉ

read+excute

C2 ngắn gọn hơn, gồm 3 số hệ bát phân

Số đầu cho owner, số thứ 2 cho group, số còn lại cho other. Mỗi 1 số

nhận 1 trong 8 giá trị sau

+ 0 : cấm tất cả các quyền

+ 1 : execute

+ 2 : write

+ 3 : execute + write

+ 4 : read

+ 5 : read + execute

+ 6 : read + write

+ 7 : read + write + execute

Để thay đổi quyền hạn truy cập cho các user sử dụng lệnh chmod (bạn

phải là owner của file hặc có quyền root)

Để thay đổi owner cho đối tƣợng sử dụng lệnh chown (bạn phải có

quyền root)

chown User_Name File_Name



Để thay đổi group cho đối tƣợng sử dụng lệnh chgrp nhƣng phải thỏa 1

trong 2 điều kiện:

* chạy lệnh chgrp với quyền root

* bạn là owner + thuộc Group (có tên là Group_Name trong lệnh) mà

bạn muốn thay đổi Group cho file

chgrp Group_Name File_Name

I.6 Ƣu và nhƣợc điểm của hệ điều hành Linux

Ƣu điểm

Là hệ điều hành miễn phí và đƣợc rất nhiều ngƣời phát triển nên có

nhiều tính năng ứng dụng hay, cũng nhƣ nhiều ngƣời dùng.

Là hệ điều hành đa nhiệm và đa ngƣời dùng, tận dụng đƣợc sức mạnh

xử lý của máy i386 và đời cao hơn. Chạy đƣợc trên nhiều loại máy khác

nhau.

Có sẵn bộ giao thức TCP/IP giúp cho ngƣời dùng dễ dàng kết nối

internet.

Khả năng tƣơng thích với các hệ thống mở có nghĩa chúng ta có thể

chuyển nó từ hệ điều hành này sang hệ điều hành khác mà vẫn hoạt

động tốt.

Hổ trợ ngƣời dùng. Hiện nay linux có hàng ngàn ứng dụng, bao gồm các

chƣơng trình báo biểu, cơ sở dữ liệu, giải trí, đa phƣơng tiện và rất nhiều

ứng dụng khác.

Lợi ích cho giới chuyên nghiệp điện toán, đến với linux giới điện toán sẽ

có hàng ngàn công cụ phát triển chƣơng trình, báo gồm các bộ biên dịch

cho nhiều ngôn ngữ lập trình hàng đầu hiện nay, chẳng hạn nhƣ C,

C++…

Nhƣợc điểm



Khuyết điểm về hổ trợ kỹ thuật tức là Linux không có một công ty nào

đứng ra chịu trách nhiệm phát triển hệ điều hành này. Nếu gặp trục trặc

thì không có ai có thể giải quyêt miển phí cho bạn.

Khuyết điểm về phần cứng đó chính là Linux không dễ dàng cài đặt và

hổ trợ nhiều thiết bị phần cứng. Các phiên bản phần cứng của Linux đều

hổ trợ theo nguyên tắc phần cứng của nhà phát triển Linux.

Quá trình sử dụng với ngƣời dùng tƣơng đối khó khăn bởi vì Linux hổ

trợ việc giao tiếp bằng đồ họa ít nên chủ yếu phải dùng bằng lệnh nên

dẫn đến làm cho ngƣời dùng cảm thấy kho khăn khi sử dụng.

I.7 Một số bản phân phối(Distro) Linux phổ biến

Phần mềm tự do nguồn mở cho phép ngƣời sử dụng có thể sao chép, sửa

đổi, phân phối một cách tự do và không phụ thuộc vào bất kỳ nhà cung cấp

công nghệ nào.

Phần mềm tự do nguồn mở đƣợc phát triển từ lâu và đến nay đã xuất

hiện khá phổ biến trong các tổ chức chính phủ, doanh nghiệp.Thu hút sự chú ý

của cộng đồng do sự tự nguyện của những ngƣời đóng góp cho cộng đồng giúp

phát hiện và thông báo các lỗi mà họ gặp phải khi trải nghiệm.

Điểm sáng của phần mềm mã nguồn mở chính là khái niệm distro, có

thể tạm dịch là bản phân phối phần mềm mã nguồn mở. Kể từ lúc Linux ra đời,

cho đến nay đã có rất nhiều distro khác nhau, một phần là do tính "mở" của nó.

Một số distro có thể kể đến nhƣ: Ubuntu, Fedora, LinuxMint, openSUSE,

PCLinuxOS, Debian, Mandriva…

Sự khác nhau giữa các distro chủ yếu dựa vào 2 yếu tố

- Thị trƣờng mà distro muốn nhắm đến, ví dụ dành cho máy chủ,

doanh nghiệp, siêu máy tính, ngƣời dùng đầu cuối…

- Tùy thuộc vào triết lí phần mềm của từng distro mà những

ngƣời phát triển quyết định gắn bó lâu dài với distro đó hay

không.



Các distribution phổ biến

Redhat,Fedora & CentOS (Redhat, Inc): Redhat, Fedora,CentOS là

các Distro dựa trên RPM, đƣợc nhiều ngƣời biết đến nhất và rất phổ biến tại

Việt Nam. Chúng phù hợp với mọi mục đích, từ Desktop, Workstation, đến

Server, cho những ngƣời mới dùng, đến những ngƣời đã giàu kinh nghiệm.

Điểm mạnh của Redhat, Fedora,CentOS là việc hỗ trợ cài đặt, đến giao diện sử

dụng rất thân thiện. Tuy nhiên điểm yếu chung của những Distro tựa RPM này

là cách quản lý gói tin gây không ít khó khăn cho ngƣời dùng. Việc phân chia

mỗi ứng dụng bao gồm nhiều gói rpm, và sự liên kết giữa chƣơng trình với thƣ

viên, gây cho việc cài đặt, gỡ bỏ, cập nhật bất kỳ một gói nào cũng liên quan

đến nhiều gói khác. Tuy nhiên, đến Distro Fedora,CentOS và Redhat

Enterprise, trình quản lý gói yum đƣợc đƣa vào, đã giải quyết đƣợc đáng kể

vấn đề trên. Fedora,CentOS là Distro xuất hiện miễn phí cho ngƣời dùng bởi

Công ty Redhat từ khi phiên bản Redhat đã đƣợc thƣơng mại hóa. Redhat

Enterprise thực sự là một Distro phổ biến cho dòng Máy chủ của các công ty,

doanh nghiệp lớn trên toàn thế giới.

Hình 2. 5 Red Hat

Debian: là Distro khá phổ biến bởi trình quản lý gói tin rất mạnh, tiện

ích APT và số lƣợng gói phần mềm khổng lồ (số lƣợng CD lƣu trữ hết các gói

tin khoảng 15 CD - 8000 gói), cung cấp cho ngƣời dùng rất nhiều tính năng lựa

chọn. Debian là lựa chọn cho sự ổn định và tin cậy. Gói tin DEB trên Debian



luôn đặt mục tiêu stable (vững chắc, ổn định) lên hàng đầu, so với một số hệ

thống gói tin khác là mục tiêu newest (cập nhật mới nhất)

Hình 2. 6 Debian

Ubuntu: Cái tên Ubutun chỉ mới xuất hiện vào khoảng 2005, nhƣng đã

trở nên rất phổ biến cho ngƣời dùng khắp nơi trên thế giới. Trong trang chuyên

đề về tập hợp các Distro là DistroWatch, Ubuntu luôn đứng đầu về số lƣợng

ngƣời dùng ghé thăm. Ubuntu đƣợc thiết kế chuyên cho ngƣời dùng Desktop,

rất nhỏ gọn (chỉ gồm 1 đĩa cài đặt), và dựa trên hệ thống quản lý gói mạnh mẽ

APT của Debian. Ngƣời dùng Ubuntu thực sự thấy đƣợc sự tự do, tùy biến cao

trong sử dụng, quản lý hệ thống.

Hình 2. 7 Ubuntu

Gentoo: Là một Distro của sự linh hoạt, và tốc độ, đƣợc thiết kế chuyên

cho developer và network professional. Khác với các Distro khác, Gentoo sử

dụng hệ thống quản lý gói cũng rất mạnh Portage. Việc cài đặt hệ thống và các

phần mềm hoàn toàn từ mã nguồn (source code) sao cho phù hợp nhất với đặc



điểm của hệ thống. Khi cài đặt Gentoo, hệ thống của ngƣời dùng chỉ đƣợc cài

đặt một mức tối thiểu các gói tin cần thiết, sau đó tùy mục đích mà ngƣời dùng

có thể cài đặt thêm. Chính vì những lý do trên, Gentoo đem đến cho hệ thống

sự ổn định và chạy rất nhanh. Để cài đặt và sử dụng Gentoo, ngƣời dùng sẽ mất

khá nhiều thời gian, tuy nhiên nó đáng để đƣợc nhƣ vậy.

Hình 2. 8 Gentoo

Knoppix: Đây là một LiveCD rất thân thiện, với sự hỗ trợ cao về phần

cứng và nhiều phần mềm chuyên dụng. Knoppix giúp ngƣời dùng có thể làm

quen với Linux, các ứng dụng Mã nguồn mở mà không phải cài đặt. Đây cũng

là Distro phù hợp với vài trò Rescue

Hình 2. 9 Knoppix



Slackware: Đây là sự lựa chọn tốt cho những ngƣời dùng muốn học,

nghiên cứu kỹ và sâu về hệ điều hành Linux. Tuy nhiên, từ công việc cài đặt,

cho đến sử dụng ngƣời dùng cũng phải mất khá nhiều thời gian, mà ngay cả

ngƣời dùng có kinh nghiệm cũng cảm thấy khó dùng. Tuy nhiên đánh đổi lại,

khi bạn đã sử dụng thành thạo Slackware, ngƣời dùng có thể yên tâm về trình

độ của mình. Đây cũng là Distro lựa chọn cho Máy chủ lớn bởi tính ổn định,

cập nhật và tùy biến cao của nó.

Hình 2. 10 Slackware

Các Linux Distribution có rất nhiều, vì vậy ngƣời dùng cần xác định mục tiêu

sử dụng và lựa chọn một Distro phù hợp. Tiêu chí lựa chọn distribution cũng là

các mặt khác nhau giữa các Linux distribution bao gồm:

- Chƣơng trình cài đặt (Graphical, Text mode)

- Hệ thống quản lý gói tin (dpkg với Debian, RPM với Fedora...)

- Giao diện đồ họa đƣợc cài đặt mặc định.

- Phƣơng tiện cài đặt (Đĩa mềm, LiveCD, CD/DVD).

- Tính bản địa hóa của Distro (Bao gồm font chữ, ngôn ngữ....)

- Ứng dụng (Desktop, Workstation, Server, Firewall and Security,

Router, etc)

- Hỗ trợ phần cứng.

- Chi phí. (Đa phần Linux Distribution là miễn phí, nhƣng cũng có một



số Distro đã đƣợc thƣơng mại hóa: Redhat, Xandros Desktop OS, etc)

- Sự hỗ trợ từ các hãng, công ty: tài liệu, diễn đàn, tin tức, cập nhật.

- Cuối cùng, một yếu tố cũng rất quan trọng đó là trình độ của ngƣời

dùng. Đối với ngƣời mới dùng, đa phần Linux Distribution khó sử dụng, đặc

biệt trong đó có nhiều Distro kể cả những ngƣời giàu kinh nghiệm, việc sử

dụng nó cũng vất vả. Vì lý do đó, đã xuất hiện nhiều Distro hƣớng dẫn ngƣời

dùng, thân thiện với ngƣời dùng hơn, phù hợp cho ngƣời mới bắt đầu. Vì vậy,

xác định trình độ của mình và lựa chọn Distro cũng là rất cần thiết



II. TỔNG QUAN VỀ FIREWALL

II.1 Khái niệm tƣờng lửa(firewall)

Tƣờng lửa là một kỹ thuật đƣợc tích hợp vào hệ thống mạng để chống

lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng nhƣ hạn

chế sự xâm nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ

chức, doanh nghiệp.Cũng có thể hiểu tƣờng lửa là một cơ chế để đảm bảo an

toàn cho mạng máy tính giữa mạng nội bộ với mạng bên ngoài(Internet).

Hình 2. 11 Mô hình tƣởng lửa cơ bản

II.2. Chức năng của tƣờng lửa

Chức năng chính của tƣờng lửa là kiểm soát luồng thông tin giữa mạng

cần bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập

đã đƣợc thiết lập.

- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài

vào trong.

- Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.

- Kiểm soát khả năng truy cập ngƣời sử dụng giữa 2 mạng.

- Kiểm soát nội dung thông tin truyền tải giữa 2 mạng.

- Ngăn ngừa khả năng tấn công từ các mạng ngoài.



Xây dựng tƣởng lửa là một biện pháp khá hữu hiệu, nó cho phép bảo vệ

và kiểm soát hầu hết các dịch vụ do đó đƣợc áp dụng phổ biến nhất trong các

biện pháp bảo vệ mạng.

II.3. Phân loại tƣờng lửa

Tƣờng lửa đƣợc chia làm nhiều loại,tùy thuộc vào nhu cầu và cách nhìn

nhận từ ngƣời sử dụng.Mỗi loại có ƣu và nhƣợc điểm riêng của nó.Chúng ta

phân ra các loại nhƣ sau:

II.3.1 Packet Filtering ( tƣờng lửa lọc gói tin)

Kiểu tƣờng lửa này thƣờng hoạt động ở tầng mạng và tầng liên kết dữ

liệu trong mô hình OSI.Nó có thể tích hợp hoặc không tích hợp với Router, nó

tạo ra các luật cho phép quyền truy nhập mạng dựa trên mức mạng.Mô hình

này hoạt động theo nguyên tắc lọc gói tin (packet filtering).

Ở kiểu hoạt động này các gói tin đều đƣợc kiểm tra địa chỉ nguồn nơi

chúng xuất phát. Sau khi địa chỉ IP nguồn đƣợc xác định thì nó đƣợc kiểm tra

với các luật đã đƣợc đặt ra trên tƣờng lửa. Ví dụ ngƣời quản trị firewall quyết

định rằng không cho phép bất kỳ một gói tin nào xuất phát từ mạng

microsoft.com đƣợc kết nối với mạng trong thì các gói tin xuất phát từ mạng

này sẽ không bao giờ đến đƣợc mạng trong.

Các tƣờng lửa hoạt động ở lớp mạng (tƣơng tự nhƣ một router)

thƣờng cho phép tốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP nguồn mà

không có một lệnh thực sự nào trên router, nó không cần một khoảng thời gian

nào để xác định xem là địa chỉ sai hay bị cấm. Nhƣng điều này bị trả giá bởi

tính tin cậy của nó. Kiểu tƣờng lửa này sử dụng địa chỉ IP nguồn làm chỉ thị,

điểu này tạo ra một lỗ hổng là nếu một gói tin mang địa chỉ nguồn là địa chỉ giả

thì nhƣ vậy nó sẽ có đƣợc một số mức truy nhập vào mạng trong của bạn.

Các sản phẩm tƣờng lửa cứng đáng chú ý nhƣ Cisco PIX, NetScreen

firewall, SonicWall Appliaces, WatchGuard Fireboxes, Nokia firewall…



Hình 2. 12 Packet Filtering

II.3.2 Application firewall ( Tƣờng lửa ứng dụng )

Kiểu tƣờng lửa này hoạt động dựa trên phần mềm và thƣờng hoạt động

ở tầng ứng dụng của mô hình OSI.Nếu cài đặt trên một máy tính thì đƣợc gọi là

host firewall.Nếu dùng cho hệ thống mạng thì gọi là Network firewall.

Khi một kết nối từ một ngƣời dùng nào đó đến mạng sử dụng tƣờng lửa

kiểu này thì kết nối đó sẽ bị chặn lại, sau đó tƣờng lửa sẽ kiểm tra các trƣờng

có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa

là các trƣờng thông tin đáp ứng đƣợc các luật đã đặt ra trên tƣờng lửa thì tƣờng

lửa sẽ tạo một cái cầu kết nối giữa hai node với nhau.

Ƣu điểm của kiểu tƣờng lửa loại này là không có chức năng chuyển tiếp

các gói tin IP, hơn nữa ta có thể điểu khiển một cách chi tiết hơn các kết nối

thông qua tƣờng lửa. Đồng thời nó còn đƣa ra nhiều công cụ cho phép ghi lại

các quá trình kết nối. Tất nhiên điều này sẽ làm chậm hệ thống, bởi vì tất cả các

kết nối cũng nhƣ các gói tin chuyển qua tƣờng lửa đều đƣợc kiểm tra

kỹ lƣỡng với các luật trên tƣờng lửa và rồi nếu đƣợc chấp nhận sẽ đƣợc chuyển

tiếp tới node đích.Ngoài ra việc nâng cấp và thay đổi thiết bị tƣờng lửa tƣơng

đối dễ dàng và nhanh chóng.

Nhƣợc điểm của loại tƣờng lửa này là nó đƣợc cài đặt trên một hệ điều

hành hoặc hệ thống mạng và do đó khả năng có lỗ hổng trên hệ điều hành này



là có thể xẩy ra. Khi lỗ hổng đƣợc phát hiện và đƣợc cập nhật bản vá lỗi, rất có

thể sau khi cập nhật bản vá lỗi cho hệ điều hành thì tƣờng lửa không hoạt động

bình thƣờng nhƣ trƣớc, do đó cần tiến hành cập nhật bản vá cho tƣờng lửa từ

nhà cung cấp sản phẩm tƣờng lửa.

Do hệ điều hành mà tƣờng lửa ứng dụng chạy trên nó không đƣợc thiết

kế tối ƣu cho tƣờng lửa nên tƣờng lửa mềm có hiệu suất thấp hơn tƣờng lửa

cứng.

Một số sản phẩm tƣờng lửa ứng dụng nhƣ SunScreen firewall,

IPF,Microsoft ISA server, Check Point NG, Linux’s IPTables…

Hình 2. 13 Application firewall



II.3.3 Statefull Firewall (Tƣờng lửa trạng thái)

Là một dạng tƣờng lửa thông minh,kết hợp đƣợc cả hai dạng tƣờng lửa

phía trên.nó kiểm soát ở cả bảy tầng của mô hình OSI.

Nó không những kiểm tra gói tin bao gồm cấu trúc, dữ liệu gói tin … mà

kiểm tra cả trạng thái gói tin khi đi qua nó.

Hình 2. 14 Statefull Firewall



CHƢƠNG 3

TÌM HIỂU VỀ IPTABLES TRÊN HỆ ĐIỀU HÀNH

LINUX

I.Giới thiệu về Iptables

I.1 Khái niệm Iptables

Iptables là một gói tƣờng lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn

phí và có sẵn trên Linux do Netfilter Organiztion viết ra để tăng tính năng bảo

mật trên hệ thống Linux. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân

Linux và Iptables nằm ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa

ngƣời dùng và Netfilter để đẩy các luật của ngƣời dùng vào cho Netfiler xử lí.

Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc trực tiếp

trong nhân, nhanh và không làm giảm tốc độ của hệ thống.Iptables cung cấp

các tính năng sau:

Tích hợp tốt với kernel của Linux.

Có khả năng phân tích gói tin hiệu quả.

Lọc gói tin dựa vào địa chỉ MAC (Media Access Control) và một số cờ

hiệu trong TCP Header

Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống

Cung cấp kỹ thuật NAT (Network Address Translation)

Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS



Hình 3. 1 Vị trí của Iptables

I.2 Cài đặt Iptables

Iptable là một tƣờng lửa cài đặt mặc định trong hệ thống Linux.Nhƣng

nó cho tất cả các Traffic truy cập theo mặc định. Gói của iptables là iptables-

version.rpm hoặc iptables-version.tgz…ta có thể dùng lệnh để cài đặt gói này :

$ rpm –ivh iptables-version.rpm đối Red Hat

$ apt-get install iptables đối với Debian

- Kiểm tra Iptables đã đƣợc cài đặt hay chƣa bằng lênh : #rpm –qa

iptables

- Khởi động iptables: service iptables start

- Cho phép Iptables khởi động cùng lúc với hệ thống : #chkconfig

iptables on

- Tắt iptables: service iptables stop

- Khởi động lại iptables: service iptables restart

- Xác định trạng thái iptables: service iptables status

I.3 Cú pháp Iptables

Cú pháp của Iptables có dạng nhƣ sau:

#iptables [-t table-name] <command><chain-name> match [–j target]

Trong đó :



-t (tables) : xác đinh table sẽ chịu tác động của lệnh. Trong

trƣờng hợp không chỉ ra tên bảng, mặc định iptables sẽ thực hiện các lệnh trên

bảng filter

-command : Tên lệnh sẽ thực hiện trên bảng đƣợc chỉ ra,(thêm

hay xoá một luật trong chuỗi luật nào đó).

-chain-name : Tên của chuỗi luật sẽ chịu tác động của lệnh.

- match : Là nội dung của luật. Match là các cặp điều kiện và giá

trị của nó, xác định gói tin sẽ chịu tác động của luật.

-j target Chỉ ra hành động (target) sẽ tác động vào một gói tin khi

gói tin đó đáp ứng đƣợc luật (match) chỉ ra.

Ví dụ một vài câu lệnh iptables

- Cho phép tất cả các gói tin tcp đi vào cổng 22

#iptables –A INPUT –p tcp –dport 22 –j ACCEPT

- Firewall chấp nhận cho bất kỳ gói tin TCP đi vào từ intafece eth0 đến địa chỉ

192.168.1.1

#iptables –A INPUT –s 0/0 –i eth0 –d 192.168.1.1 –p TCP –j ACCEPT

- Cấm máy tính có địa chỉ ip 192.168.1.2 ping tới server

# iptables –A INPUT –s 192.168.1.2 –p icmp – icmp-type any –j REJECT

I.4 Cấu trúc của Iptables

Trong iptables chia ra thành các bảng (tables), trong mỗi bảng sẽ chia ra

thành nhiều chuỗi(chains) để xử lý packet tùy theo tình huống (hƣớng đi của

packets),trong mỗi chain sẽ có các luật(rules) mà mình sẽ cấu hình để xử lý các

packets tƣơng ứng với mỗi chain.Iptables đƣợc chia làm 4 bảng nhƣ sau:

Filter table: dùng đề lọc gói dữ liệu,trong nó có 3 chains :

Forward chain: xử lý và chuyển tiếp các gói tin.

Input chain: xử lý các gói tin đi vào.



Output chain: xử lý các gói tin đi ra.

Hình 3. 2 Quá trình xử lý gói tin bảng filter

NAT table: thực thi các chức năng NAT (Network Address

Translation), gồm 2 chains sau:

Pre-routing chain: NAT từ ngoài vào trong nội bộ. Quá trình

NAT sẽ thay đổi địa chỉ đích (Destination) của gói dữ liệu khi

cần thiết.

Post-routing chain: NAT từ trong ra ngoài. Quá trình NAT sẽ

thay đổi địa chỉ nguồn (Source) của gói dữ liệu khi cần thiết.

Hình 3. 3 Quá trình xử lý gói tin trong bảng NAT

Mangle table: chịu trách nhiệm biến đổi Qos ( quality of service) bits

trong TCP header.

Hình 3. 4 Quá trình xử lý gói tin trong bảng Mangle



Conntrack table: theo dõi các kết nối

I.5 Quá trình chuyển dữ liệu qua Netfilter

Iptables sẽ kiểm tra tất cả các gói khi nó đi qua iptables host, quá trình

kiểm tra này đƣợc thực hiện tuần tự từ entries đầu tiên đến entries cuối cùng.

Iptables tổ chức phân loại dựa theo cách thức xử lý gói tin. Các gói tin

này đƣợc xử lý qua các bảng, trong mổi bảng có phân biệt gói tin đi vào

(INPUT), đi ra (OUTPUT) hoặc chuyển tiếp (FORWARD). Hay một số cách

thức biến đổi địa chỉ nguồn, đích gọi là NAT bao gồm việc biến đổi địa chỉ

nguồn thành đích gọi là PREROUTING, và đích thành nguồn gọi là

POSTROUTING ngƣời ta gọi đó là các chuỗi(chain). Trong mổi chain sẽ có

những luật để quyết định xử lý gói tin nhƣ thế nào: cho phép chuyển gói tin

(ACCEPT), chặn và báo lại gói tin cho ngƣời gởi (REJECT), chặn gói tin

(DROP).

Hình 3. 5 Mô hình hoạt động của Iptables

Gói dữ liệu (packet) chạy trên cáp, sau đó đi vào card mạng. Đầu tiên

packet sẽ qua chain PREROUTING (trƣớc khi định tuyến). Tại đây, packet có

thể bị thay đổi thông số (mangle) hoặc bị đổi địa chỉ IP đích (DNAT). Đối với

packet đi vào máy, nó sẽ qua chain INPUT.

Tại chain INPUT, packet có thể đƣợc chấp nhận hoặc bị hủy bỏ. Tiếp

theo packet sẽ đƣợc chuyển lên cho các ứng dụng (client/server) xử lí và tiếp

theo là đƣợc chuyển ra chain OUTPUT.



Tại chain OUTPUT, packet có thể bị thay đổi các thông số và bị lọc

chấp nhận ra hay bị hủy bỏ. Đối với packet forward qua máy, packet sau khi rời

chain PREROUTING sẽ qua chain FORWARD.

Tại chain FORWARD, nó cũng bị lọc ACCEPT hoặc DENY. Packet

sau khi qua chain FORWARD hoặc chain OUTPUT sẽ đến chain

POSTROUTING (sau khi định tuyến).

Tại chain POSTROUTING, packet có thể đƣợc đổi địa chỉ IP nguồn

(SNAT) hoặc MASQUERADE. Packet sau khi ra card mạng sẽ đƣợc chuyển

lên cáp để đi đến máy tính khác trên mạng.

Tóm tắt trình tự xử lý gói tin của iptables:



Hình 3. 6 Trình tự xử lý gói tin trên Iptables



Đầu tiên, gói dữ liệu đến mạng A, tiếp đó nó đƣợc kiểm tra bởi bảng

Mangle PREROUTING chain ( nếu cần) . Tiếp theo là kiểm tra gói dữ liệu bởi

bảng NAT PREPROUTING chain để kiểm tra gói dữ liệu có cần DNAT hay

không ?. Nếu cần, DNAT sẽ thay đổi đích đến của packet. Rồi gói packet đƣợc

chuyển đi.

Nếu gói packet đi vào trong mạng đƣợc bảo vệ, thì nó sẽ đƣợc lọc bởi

FORWARD chain của Filte table, và nếu cần gói dữ liệu sẽ đƣợc SNAT trong

POSTROUTING chain để thay đổi IP nguồn trƣớc khi vào mạng B.

Nếu gói dữ liệu đƣợc định hƣớng đi vào bên trong Firewall , nó sẽ đƣợc

kiểm tra bởi INPUT chain trong mangle table, nếu gói dữ liệu qua đƣợc các

chain này trong INPUT chain thì sẽ đƣợc vào trong chƣơng trình của các host

ben trong Firewall.

Khi Firewall cần gởi gói packet ra ngoài, gói packet sẽ đƣợc dẫn và đi

qua sự kiểm tra của OUTPUT chain trong Mangle table ( nếu cần ), tiếp đó là

kiểm tra trong OUTPUT chain của Nat table để xem DNAT có cần thiết hay

không và OUTPUT chain của Filter table sẽ kiểm tra gói dữ liệu nhằm phát

hiện các gói dữ liệu không đƣợc phép gởi đi. Cuối cùng, trƣớc khi packet ra

ngoài, SNAT và Qó sẽ đƣợc kiểm tra trong POSTROUTING chain.

I.6 Target và Jumps trong iptables

Jump là cơ chế chuyển một packet đến một target nào đó để xử lý

thêm một số thao tác khác.

Target là hành động sẽ dễn ra khi một gói dữ liệu đƣợc kiểm tra và phù

hợp với một yêu cầu nào đó. Khi một target đã đƣợc nhận dạng, gói dữ liệu cần

nhảy (Jump) để thực hiện các xử lý tiếp theo. Bảng sau liệt kê các target mà

iptables sẽ sử dụng.

Bảng 1. Miêu tả các target mà Iptables thường dùng nhất

Targets Ý nghĩa Tùy chọn

ACCEPT Iptables ngừng xử lý gói dữ liệu

đó và chuyển tiếp nó vào một ứng



dụng cuối hoặc hệ điều hành để xử

lý

DROP

Iptables ngừng xử lý gói dữ liệu

đó và gói dữ liệu bị chặn, loại bỏ

LOG

Thông tin của gói sẽ đƣợc đƣa

vào syslog để kiểm tra, iptables tiếp

tục xử lý gói với quy luật kế tiếp

--log-prefix "string" iptables

sẽ thêm vào log message một

chuỗi do ngƣời dùng định

nghĩa sẳn. Thông thƣờnglà để

thông báo lý do vì sao gói bị

bỏ.

REJECT

Tƣơng tự nhƣ DROP, nhƣng nó sẽ

trả lại cho phía ngƣời gửi một

thong báo rằng gói đã bị chặn và

loại bỏ

--reject-with qualifier

Than số qualifier sẽ cho biết

loại thông báo gửi trả lại phía

gửi. Qualifier gồm các loại

sau:

icmp-port-unreachable

(default)

icmp-net-unreachable

icmp-host-unreachable

icmp-proto-unreachable

icmp-net-prohibited

icmp-host-prohibited

tcp-reset

echo-reply

DNAT

Dùng để thực hiện Destination

network address translation, địa chỉ

đích của gói dữ liệu sẽ đƣợc viết lại

--to-destination ipaddress

Iptables sẽ viết lại địa chỉ

iptables vào địa chỉ đích của

gói dữ liệu .

SNAT

Dùng để thực hiện Source

network address translation, viết lại

của địa chỉ nguồn của gói dữ liệu .

--to-source <address>[-

<address>][:<port>-

<port>]

Miêu tả IP và port sẽ đƣợc

viết lại bởi iptables

MASQUER

ADE

Dùng để thực hiện Source

Networkaddress Translation.

[--to-ports <port>[-

<port>]]



Ghi rõ tầm các port nguồn

gốc có thể ánh xạ đƣợc .

I.7 Các tham số dòng lệnh thƣờng dùng trong iptables

Các tham số sau sẽ cho phép iptables thực hiện các hành động sao cho

phù hợp với biểu đồ xử lý gói do ngƣời dùng hoạch định sẳn.

Bảng 2. Các tham số chuyển mạch quan trọng của iptables

Lệnh switching quan trọng Ý nghĩa

-t <table>

Nếu bạn không chỉ định rõ là tables nào, thì filter tables

sẽ đƣợc áp dụng. Có 3 loại tables là filter, NAT, mangle

-j <target>

Nhảy đến một chuổi targets nào đó khi gói dữ liệu phù

hợp quy luật hiện tại

-A Nối thêm 1 quy luật nào đó cuối chuổi (chain)

-F Xóa hết tất cả mọi quy luật trong bảng đã chọn

-p <protocol-type>

Phù hợp với giao thức (Protocols) thông thƣờng là icmp,

tcp, udp và all

-s <ip-address>

Phù hợp với ip nguồn

-d <ip-address> Phù hợp với ip đích

-i <interface-name>

Phù hợp điều kiện INPUT khi gói dữ liệu đi vào firewall

-o <interface-name>

Phù hợp điều kiện OUTPUT khi gói dữ liệu đi ra khỏi

firewall

Ví dụ:

iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT

iptables đƣợc cấu hình cho phép ―firewall ― chấp nhận các gói dữ liệu sử

dụng giao thức (protocols) là TCP, có địa chỉ nguồn bất kỳ( 0/0), đến card

mạng eth0 và đến đích có địa chỉ IP 192.168.1.1 là địa chỉ của firewall.

Bảng 3. Các điều kiện TCP và UDP thông dụng

Lệnh switching Miêu tả

-p tcp --sport <port> Điều kiện TCP port nguồn (source port). Có thể là một



giá trị hoặc một chuỗi có dạng: start-port-number:end-

port-number

-p tcp --dport <port>

Điều kiện TCP port đích (Destination port)

Có thể là một giá trị hoặc một chuổi có dạng: starting-

port:ending-port

-p tcp –syn

Dùng để nhận dạng một yêu cầu kết nối TCP mới .

!—syn, nghĩa là không có yêu cầu cần kết nối mới

-p udp --sport <port>

Điều kiện UDP port đích (source port)

Có thể là một giá trị hoặc một chuổi có dạng: start-port-

number:end-port-number

-p udp --dport <port>

Điều kiện UDP port đích (source port)

Có thể là một giá trị hoặc một chuổi có dạng: starting-

port:ending-port

Ví dụ:

iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP \--

sport 1024:65535 --dport 80 -j ACCEPT

Iptables đƣợc cấu hình cho phép firewall chấp nhận các gói dữ liệu có giao

thức là TCP, có địa chỉ nguồn là bất kỳ (0/0) đi đến card mạng eth0 có địa chỉ

192.168.1.58, đi ra từ card mạng eth1, có source port từ 1024 – 65535 và port

đích là 80.

Bảng 4. Điều kiện ICMP

Lệnh Miêu tả

--icmp-type <type> Thƣờng dùng nhất là echo-reply và eho-request

Một ví dụ về ICMP:

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables đƣợc cấu hình cho phép firewall cháp nhận gởi ICMP eho-

repuests (pings) và gửi trả lời các ICMP echo-replies.

Một ví dụ khác:



iptables -A INPUT -p icmp --icmp-type echo-request -m limit –limit 1/s -i

eth0 -j ACCEPT

Iptables cho phép giới hạn giá trị lớn nhất số lƣợng các gói phù hợp trong

một giây. Có thể định thời gian theo định dạng second, minute, hour hoặc day.

Hoặc xử dụng dạng viết tắt 3/s thay vì 3/second.Trong ví dụ này ICMP echo-

request bị giới hạn không nhiều hơn một yêu cầu trong một giây.Đặc điểm này

của iptables giúp ta giảm bớt các lƣu lƣợng lớn các kết nối trong 1 thời gian

nhất định . Đây chính là đặc tính của tấn công từ chối dịch vụ(DOS) và sâu

Internet

iptables -A INPUT -p tcp --syn -m limit --limit 5/s –I eth0 -j ACCEPT

Bạn có thể mở rộng khả năng giới hạn của iptables để giảm thiểu khả

năng bị tấn công bởi cá loại tấn công từ chối dịch vụ. Đây là cách phòng vệ

chóng lại kiểu tấn công SYN floot bằng cách hạn chế sự chấp nhận các phân

đoạn TCP có bít SYS không nhiều hơn 5 phân đoạn trong 1 giây.

Bảng 5. Các điều kiện mở rộng thông dụng

Lệnh Ý nghĩa

-m multiport --sport <port,

port>

Nhiều port nguồn khác nhau của TCP/UDP đƣợc

phân cách bởi dấu phẩy (,). Đây là liệt kê của các

port chứ không phải là một chuỗi các port.

-m multiport --dport <port,

port>

Nhiều port khác nhau của TCP/UDP đƣợc phân

cách bởi dấu phẩy (,). Đây là liệt kê của các port

chứ không phải là 1 chuổi các port. Không phân

biệt port đích hay port nguồn

-m multiport --ports <port,

port>

Các trạng thái thông dụng nhất đƣợc dùng là:

ESTABLISHED: Gói dữ liệu là một phần của kết

nối đã đƣợc thiết lập bởi cả 2 hƣớng.

NEW: Gói dữ liệu là bắt đầu của một kết nối mới

RELATED: Gói dữ liệu bắt đầu 1 kết nối phụ.

Thông thƣờng đây là đặc điểm của các giao thức

nhƣ FTP hoặc lỗi của ICMP .

INVALID: Gói dữ liệu không thể nhận dạng

đƣợc. Điều này có thể do việc thiếu tài nguyên hệ

thống hoặc do lỗi của ICMP không trùng với một

luồng dữ liệu đã có sẳn .



Đây là phần mở rộng tiếp theo của ví dụ trước :

iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP \--

sport 1024:65535 -m multiport --dport 80,443 -j ACCEPT

iptables -A FORWARD -d 0/0 -o eth0 -s 192.168.1.58 -i eth1 -p TCP \-m

state --state ESTABLISHED -j ACCEPT

Iptables đƣợc cấu hình cho phép firewall chấp nhận các gói dữ liệu có

giao thức là TCP, đến từ card mạng eth0, ip nguồn là bất kỳ, đi đến địa chỉ

192.168.1.58 qua card mạng eth1. Số port nguồn là từ 1024 đến 65535 và port

đích là 80(http) và 443(https). Đến khi các gói dữ liệu nhận, trở lại từ

192.168.1.58, thay vì mở các port nguồn và đích, Chỉ cần cho phép dùng kết

nối cũ đã thiết lập bằng cách dùng tham số --state ESTABLISHED.

I.8 Sử dụng các chuỗi tự định nghĩa

Thay vì sử dụng các chain đã đƣợc xây dựng trong iptables,

ta có thể sử dụng User Defined chains để định nghĩa một chain name mô

tả cho tất cả protocol-type cho packet. Ta có thể dùng User Defined chains thay

thế chain dài dòng bằng cách sử dụng chain chính chỉ đến nhiều chain con.

Ví dụ: ta có thể sử dụng chain này để quyết định loại giao thức cho gói

và sau đó kiểm soát việc xử lý user-defined, protocol-specific chain trong bảng

filter table.

Các lệnh giúp việc cải tiến tốc độ xử lý:

iptables -A INPUT -i eth0 -d 206.229.110.2 -j fast-input-queue

iptables -A OUTPUT -o eth0 -s 206.229.110.2 -j fast-output-queue

iptables -A fast-input-queue -p icmp -j icmp-queue-in

iptables -A fast-output-queue -p icmp -j icmp-queue-out

iptables -A icmp-queue-out -p icmp --icmp-type echo-request -m state --

state NEW -j ACCEPT

iptables -A icmp-queue-in -p icmp --icmp-type echo-reply -j ACCEPT



Bảng 6. Danh sách các lệnh (Queues)

Chain Description

INPUT Đƣợc xây dƣng trong INPUT chain trong bảng iptables

OUTPUT Đƣợc xây dựng trong OUTPUT chain trong bảng

Fast-input-queue

INPUT chain tách riêng biệt để hổ trợ cho những giao thức

đặc biệt và chuyển các gói đến nhƣng protocol specific

chains.

fast-output-queue

OUTPUT chain tách riêng biệt để hổ trợ cho những giao

thức đặc biệt và chuyển các gói đến nhƣng protocol specific

chains.

icmp-queue-out Lệnh OUTPUT tách rêng cho giao thức ICMP

icmp-queue-in Lệnh INPUT tách rêng cho giao thức ICMP

I.9 NAT trong iptables

NAT ( Network Address Translation ) là một kỹ thuật dùng để giải

quyết vấn đề IP shortage. NAT hoạt động nhƣ một router , công việc của nó là

chuyển tiếp các gói tin giữa các lớp mạng khác nhau trên một hệ thống mạng

lớn.

NAT trong iptables có thể hoạt động trên nhiều chức năng khác nhau

dựa trên thao tác với địa chỉ ( đích hoặc nguồn ) và các cổng. NAT trong

iptables hỗ trợ các module để giúp nhúng địa chỉ vào các gói dữ liệu đƣợc trao

đổi theo các giao thức.

Bảng 7 NAT trong iptables

Helper Protocol

ip_nat_amanda

Amanda backup protocol (cần cấu hình file

CONFIG_IP_NF_NAT_AMANDA)

ip_nat_ftp File Transfer Protocol (cần cấu hình file

CONFIG_IP_NF_NAT_FTP )

ip_nat_irc Internet Relay Chat (cần cấu hình file

CONFIG_IP_NF_NAT_IRC )



ip_nat_snmp_basic Simple Network Management Protocol

(cần cấu hình file

CONFIG_IP_NF_NAT_SNMP_BASIC)

ip_nat_tftp Trivial File Transfer Protocol (cần cấu

hình file CONFIG_IP_NF_NAT_TFTP)

Nếu muốn một số gói tin nào đó vƣợt qua bảng NAT, chúng ta sử dụng lệnh:

#iptables -t nat -i eth1 ... -j ACCEPT

Source NAT (SNAT) và Destination NAT (DNAT) thƣờng đƣợc dùng

để chia sẻ kết nối internet giữa các máy tính trong mạng nội bộ . Máy tính khi

kết nối internet đƣợc xem nhƣ là một gateway . Source NAT (SNAT) sẽ thay

đổi địa chỉ nguồn của các gói tin di ra internet bằng địa chỉ Ip internet tĩnh của

gateway. Khi gateway nhận đƣợc các gói tin trả về từ internet , Destination

NAT (DNAT) sẽ thay đổi địa chỉ đích của các gói tin rồi chuyển đến các máy

tính trong mạng nội bộ.

Trong Iptables POSTROUTING chain của bảng NAT sẽ đảm nhận công

việc Source SNAT.Source NAT có hai phần mở rộng đó là SNAT và

MASQUERADE.SNAT đƣợc sử dụng cho các máy tính gateway có địa chỉ IP

tĩnh, còn MASQUERADE dùng cho các máy tính gateway có địa chỉ IP động.

Chúng ta có thể thiết lập SNAT trên giao diện eth1 bằng lệnh :

#iptables -t nat -A POSTROUTING -o eth1 -j SNAT

Và với MASQUERADE :

#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Tƣơng tự nhƣ vậy PREROUTING chain của bảng NAT sẽ đảm nhận

công việc Destination NAT (DNAT) . Ví dụ

#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j

DNAT --to-destination 192.168.1.3:8080

Câu lệnh trên cho phép những gói tin di vào từ interface eth1 với giao

thức tcp cổng đƣợc chuyển đến địa chỉ IP 192.168.1.3 với số hiệu port 8080



I.10 Ví dụ về một số rule trên Iptables

Cho phép DNS hoạt động

#iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j

ACCEPT

#iptables -A INPUT -p udp -i eth0 --sport 53 --dport 1024:65535

-j ACCEPT

Mở cổng cho phép WEB và SSL hoạt động

#iptables -A OUTPUT -o eth0 -m state --state

ESTABLISHED,RELATED -j ACCEPT

#iptables -A INPUT -p tcp -i eth0 --dport 22 –sport 1024:65535 -m state

--state NEW -j ACCEPT

#iptables -A INPUT -p tcp -i eth0 --dport 80 –sport 1024:65535 -m state

--state NEW -j ACCEPT

Cho phép máy firewall vào WEB

#iptables -A OUTPUT -j ACCEPT -m state --state NEW -o eth0 –p tcp -

m multiport --dport 80,443

#iptables -A INPUT -j ACCEPT -m state --state

STABLISHED,RELATED -i eth0 –p tcp

Cho phép máy tính mạng nội bộ vào internet thông qua interface eth1

#iptables -A INPUT -j ACCEPT -p all -s 192.168.1.0/24 -i eth1

#iptables -A OUTPUT -j ACCEPT -p all -d 192.168.1.0/24 -o eth1



II.Triển khái iptables trên Redhat

II.1 Mô hình triển khai

Giả sử công ty A có mô mình mạng nhƣ sau :

Hình 3. 7 Sơ đồ mạng công ty A

Theo sơ đồ ta thấy :

o Client : card mạng có địa chỉ ip là 192.168.1.2 đƣợc nối vào card

eth0 iptables firewall

o Server : card mạng có địa chỉ ip là 192.168.2.2 đƣợc nối vào card

eth1 của Iptables firewall

o Firewall có 2 card mạng :

Eth0 : có địa chỉ ip là 192.168.1.1 đƣợc kết nối với Client

Eth1 : có địa chỉ ip là 192.168.2.1 đƣợc kết nối với server

II.2 Thiết lập iptables trên redhat

II.2.1 Cấm ssh đến firewall

Theo sự chỉ đạo của giám đốc công ty, chỉ có mỗi quản trị viên với địa

chỉ IP 192.168.1.3/24 mới đƣợc quyền truy cập SSH đến FireWall, còn lại tất

cả các máy nội bộ khác không đƣợc truy cập vào Firewall.

Ta cấu hình Iptables nhƣ sau :

#iptables -A INPUT -s 192.168.1.3 -i eth0 -p tcp -m tcp --dport 22 -j

ACCEPT

#iptables -A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j

DROP



Khi đó, tại máy client thuộc mạng 192.168.1.0/24 có địa chỉ IP 192.168.1.3 của

quản trị viên mới kết nối SSH đƣợc với Firewall. Ta sử dụng SSH Client đển

kết nối với Firewall nhƣ hình vẽ, ta nhập các thông tin của Host Name, User

Name của Firewall vào, Port Number mặc định là 22

Ta nhập Password của User

Sau khi kết nối thành công với câu lệnh ifconfig

Với một địa chỉ IP khác nhƣ 192.168.1.2/24 thì ta sẽ không login đƣợc



II.2.2 Cấm Ping đến Firewall

Quản trị viên sẽ giới hạn độ dài của gói tin.Ví dụ ở đây là gói tin icmp, với

mỗi gói icmp nếu độ dài length <65 thì sẽ đƣợc gởi đến và phản hồi từ Firewall, còn

gói icmp >64 thì sẽ gởi đến Firewall, Firewall sẽ không gởi phản hồi lại.

Ta sử dụng lệnh :

#iptables –A INPUT –p icmp –icmp-type ping –m length 64:65535 –j

ACCEPT

Tại FireWall, ta sử dụng lệnh tcpdum host 192.168.1.1 để xem các gói

tin kết nối với Firewall.

Tại máy Client, ta sử dụng lệnh Ping với length <64 thì đƣợc kết quả :



Tại máy Firewall với lệnh tcpdum host 192.168.1.1:

Với lệnh ping từ máy client có length >100 ta đƣợc hiện thông báo

Request time out ngay.

Tại máy server với lệnh tcpdum host 192.168.1.1:



KẾT LUẬN

Báo cáo này em mới chỉ dừng lại ở mức độ tìm hiểu, qua đó để hiểu rõ

hơn hệ điều hành Linux. Báo cáo đƣơc triển khai một cách khái quát, chƣa đi

vào cụ thể, mô hình mạng chỉ là một mô hình đơn giản, dựa trên các tài nguyên

có sẵn trên Linux.

Những gì mà chúng em vừa trình bày cho thấy việc cấu hình cho

Netfilter/Iptables là công việc không đơn giản. Để cấu hình tốt thì chúng ta

phải hiểu thật sâu về nó. Đa số hệ thống mạng của chúng ta bị tấn công là do

cấu hình không đúng.

Chúng em xin tổng kết lại những mặt đã làm đƣợc và những mặt còn tồn

tại:

Những mặt chúng em đã làm được: Đã đọc và tìm hiểu về

Netfilter/Iptables, có hiểu biết cơ bản để cấu hình một firewall trên hệ

thống linux. Hoàn thành tốt việc thiết lập một số rules trên Redhat.

Những mặt chúng em chưa làm được : Có một số cấu hình chúng em

chƣa thực hiện thành công, Một số dịch vụ chúng em đã đặt Rule nhƣng

chƣa có tác dụng.

Hƣớng phát triển của chúng em trong thời gian tới là tiếp tục tìm hiểu tài

liệu, nghiên cứu sâu hơn để có thể cấu hình tiếp những gì mà chúng em chƣa

hoàn thành. Từ đó có thể tự xây dựng cho mình một hệ thống Firewall an toàn.



TÀI LIỆU THAM KHẢO

[1] Nguyễn Thị Điệp và Tiêu Đông Nhơn.Giáo trình Dịch vụ mạng Linux.Đại

học Quốc Gia Thành phố Hồ ChíMinh 12/2005.

[2] Nguyễn Hồng Thái. Cài đặt và cấu hình Ipables.2004,96tr

[3] Nguyễn Thanh Thúy, Nguyễn Quang Huy, Nguyễn Hữu Đức, Đinh Lan

Anh .Nhập môn hệ điều hành Linux.NXB Khoa học kỹ thuật 2000.

[4] O'Reilly Media. Linux iptables pocket reference

[5] Christopher Negus and Christine Bresnahan. CentOS Bible.938 trang

[6] Emmett Dulaney.Linux All in One For Dummies.652tr

[4] http://vnexperts.net/bai-viet-ky-thuat/nix/607-linux-distribution-distro.html

[5]http://www.pcworld.com.vn/articles/cong-nghe/cong-

nghe/2011/01/1223414/mot-so-linux-distro-pho-bien/

[6] http://vi.wikipedia.org/wiki/Linux

[7] http://my.opera.com/hautp/blog/

[8]http://www.quantrimang.com.vn/kienthuc/kien-thuc-co-ban/14320_Tim-

hieu-ve-FireWall.aspx

[9] http://docstore.mik.ua/orelly/networking/firewall/

[10]http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_

Ch14_:_Linux_Firewalls_Using_iptables

http://vnexperts.net/bai-viet-ky-thuat/nix/607-linux-distribution-distro.html

http://www.pcworld.com.vn/articles/cong-nghe/cong-nghe/2011/01/1223414/mot-so-linux-distro-pho-bien/

http://www.pcworld.com.vn/articles/cong-nghe/cong-nghe/2011/01/1223414/mot-so-linux-distro-pho-bien/

http://vi.wikipedia.org/wiki/Linux

http://my.opera.com/hautp/blog/

http://docstore.mik.ua/orelly/networking/firewall/

bao cao thuc tap vdc tranning da nang la xuan tam,tran canh ngo

Documents