Messages posted by "Voyage146"

Iptables cho mạng LAN

Voyage146 — GMT

Rules đó không có vấn đề gì b nhé. Vẫn rule đó nhưng VPN mình cũng hoạt động thành công rồi :D. Cảm ơn mọi người đã giúp mình hiểu được những điều cơ bản nhất về iptables, đặc biệt là bạn flygon :^). Khi có thời gian mình sẽ cố tìm hiểu sâu hơn và lúc đó mong được thảo luận nhiều hơn với mọi người.

Iptables cho mạng LAN

Voyage146 — GMT

Xin lỗi vì trả lời muộn, mình hơi bận trong thời gian rồi. 2 command đầu mình không nói, vì nó cần thiết để tạo kết nối VPN giữa 2 site. Còn lúc đầu khi mới cấu hình mình cũng dùng các command dưới này để cấu hình cho kết nối VPN: iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A OUTPUT -o tun+ -j ACCEPT iptables -A FORWARD -o tun+ -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE Nhưng khi thay bằng các command như post trước của mình thì mọi thứ vẫn hoạt động bình thường mặc dù là INPUT DROP (k permit tun+) ? Mình cũng đang làm về OpenVPN, ae có vấn đề j thì post trong đây luôn nhé.

Iptables cho mạng LAN

Voyage146 — GMT

Hôm đó nhờ có bạn robinhood_10889, mà mình đã cấu hình thành công. Sau đó mình có cấu hình openvpn trên Server B và áp dụng điều học được từ bài lab trước khi cấu hình iptables cho server B: Code:

:INPUT DROP [0:0]
:FORWARD DROP [18:1604]
:OUTPUT ACCEPT [629:608994]
-A INPUT -s 10.2.32.189/32 -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.2.32.189/32 -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1194 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 192.168.1.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.16.1.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.1.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 1024:65535 --dport 1194 -j ACCEPT
-A OUTPUT -d 10.2.32.189/32 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 10.2.32.153/32 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Theo mình nghĩ thì khi host đi từ bên A qua vpn để sử dụng các dịch vụ ở sau server B (do các server sau B cung cấp) thì chỉ luật trong FORWARD điều khiển các luồng traffic này thôi chứ nhỉ? Vậy tại sao khi mình chuyển OUTPUT từ ACCEPT sang DROP thì kết nối lại mất từ cả 2 bên??? Rất mong ae giúp mình lần nữa, mình xin cảm ơn nhiều :^)

Iptables cho mạng LAN

Voyage146 — GMT

Cảm ơn các bạn đã reply rất nhiều :D. @invalid_password: bạn nên đọc lại các case có trong diễn đàn. Policy này sẽ thực hiện tất cả các rule mình đã đưa vào trước, cuối cùng mới là drop all. @robinhood_10889: cảm ơn bạn rất nhiều nhé, trước mình có hiểu nhầm một chút nên cấu hình không thành công chứ không phải quên đâu :*- . Nhờ bạn mà mình đã hiểu ra nhiều thứ rồi. P/s: có bạn nào có quyển sách nào hay và đầy đủ về iptables thì giới thiệu cho mình vs nhé, tiếng anh cũng được , mình xin cảm ơn rất nhiều.

Iptables cho mạng LAN

Voyage146 — GMT

Tôi mới tìm hiểu về iptables và đang làm lab nhưng không thành công, mong được mọi người chỉ bảo, xin cảm ơn rất nhiều. Hiện tại bài lab thực hiện trên 1 server có 2 NIC: eth0 là EXTINF (10.2.24.12) và eth1 là INTINF (172.16.1.1). Tôi có cắm 1 laptop vào eth1 và lấy ip là 172.16.1.2. Khi không cấu hình iptables, hoặc làm theo kiểu "cho phép tất cả trước, chặn cụ thể sau" thì laptop có thể sử dụng đựoc tất cả các dịch vụ nội bộ. Nhưng nếu muốn "chặn tất cả trước, cho phép cụ thể sau" thì không được (kiểu này sau khi đọc bài trong HVA thấy hay nên rất muốn thử :D). Đây là cấu hình tôi sử dụng: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 172.20.1.2 -i eth1 -o eth0 -p tcp --dport 0:65535 -j ACCEPT iptables -A FORWARD -s 172.20.1.2 -i eth1 -o eth0 -p udp --dport 0:65535 -j ACCEPT iptables -A FORWARD -s 172.20.1.2 -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT Sau khi sử dụng cấu hình này thì lap của tôi không thể sử dụng bất kì dịch vụ nội bộ nào cả.