banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Giúp bố trí mô hình demo firewall iptables  XML
  [Question]   Giúp bố trí mô hình demo firewall iptables 18/03/2011 21:58:32 (+0700) | #1 | 233469
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Mình đang tìm hiểu và làm báo cáo về vấn đề firewall iptables. Về cơ bản lí thuyết mình đã đọc qua và hiểu, nay mình nhờ mọi người tư vấn giúp mình bố trí mô hình để mình demo đề tài này sao cho dễ hiểu và hiệu quả.
Mình chưa hình dung ra được nên bố trí mô hình như thế nào cũng như nên bảo vệ ứng dụng j. Mình xài vmware, mình mới cài 2 máy ubuntu server rùi ping và đặt luật vớ vẩn thui, bạn có thể góp ý cho mình nên cài những j được không.

Cảm ơn mọi người.
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 19/03/2011 14:35:15 (+0700) | #2 | 233519
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày

Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables

Máy A <-> Máy B ( iptables ) <-> Máy C

Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C

VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 25/03/2011 13:02:14 (+0700) | #3 | 233927
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]

xnohat wrote:
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày

Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables

Máy A <-> Máy B ( iptables ) <-> Máy C

Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C

VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB 


Cảm ơn bạn, máy B mình sẽ cài thêm các dịch vụ như Web, FTP... để dùng iptables lọc chặn khi có các máy A hay C truy cập vào được không, bạn có thể giúp mình cách cài cái dịch vụ đó trên ubuntu server 10.04 k
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 25/03/2011 15:13:23 (+0700) | #4 | 233940
[Avatar]
vitcon01
Member

[Minus]    0    [Plus]
Joined: 29/04/2009 11:28:21
Messages: 306
Offline
[Profile] [PM]

886 wrote:

xnohat wrote:
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày

Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables

Máy A <-> Máy B ( iptables ) <-> Máy C

Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C

VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB 


Cảm ơn bạn, máy B mình sẽ cài thêm các dịch vụ như Web, FTP... để dùng iptables lọc chặn khi có các máy A hay C truy cập vào được không, bạn có thể giúp mình cách cài cái dịch vụ đó trên ubuntu server 10.04 k 


-Không nên sử dụng một máy vừa đóng vai trò iptable vừa cung cấp các dịch vụ, bây giờ trong mô hình này chỉ có 3 máy vấn đề hiệu năng cho iptable cũng như các dịch vụ không quan trọng lém, nhưng đối với mô hình với hàng trăm máy thì cần xem lại.
-->nên triển khai các dịch vụ một trong 2 máy A hoặc C
FTP server(search google: how to config vsftp ubuntu 10.04) : https://help.ubuntu.com/10.04/serverguide/C/ftp-server.html
Web server: https://help.ubuntu.com/10.04/serverguide/C/httpd.html
JK - JH
()()()
LTKT - LTT
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 25/03/2011 16:54:41 (+0700) | #5 | 233944
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

886 wrote:

xnohat wrote:
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày

Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables

Máy A <-> Máy B ( iptables ) <-> Máy C

Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C

VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB 


Cảm ơn bạn, máy B mình sẽ cài thêm các dịch vụ như Web, FTP... để dùng iptables lọc chặn khi có các máy A hay C truy cập vào được không, bạn có thể giúp mình cách cài cái dịch vụ đó trên ubuntu server 10.04 k 


Máy B là Firewall sao lại cài lung tung lên đó để các thông số khảo sát sau này nó rối beng lên ?
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 29/03/2011 19:26:40 (+0700) | #6 | 234240
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]


Thanks anh nha
giờ em cài một máy là firewall 1 máy server còn 1 máy client, nhưng chưa biết cách test các dịch vụ như mail, web, ftp như thế nào
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 29/03/2011 21:40:19 (+0700) | #7 | 234246
stuki
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 23:24:39
Messages: 24
Offline
[Profile] [PM]
Mô hình : Máy A <---> Máy B (firewall) <---> Internet

Máy B làm firewall nên có 2 card mạng.

Bạn cấu hình card mạng bên ngoài ( nối với internet ) là bridge (cho nhận DHCP từ modem luôn ) , card trong thì để host-only.

Máy A có 1 card mạng, chọn host-only.

Đặt IP cho máy A và card mạng trong của máy B. Sau đó ping qua ping lại kiểm tra thông là OK.

Sau đó đặt luật cấm máy A vào trang web gì đó ( yahoo.com chẳng hạn ).

Và ngồi ở máy A vào thử.

Vậy thôi. smilie
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 30/03/2011 11:53:35 (+0700) | #8 | 234264
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Hiện nay em đã làm ttheo mô hình sau: máy A (192.168.1.2) <=> (192.168.1.1)máy B (172.16.1.1) <=> máy C(172.16.1.2)
Em cài đặt web server trên máy A và máy B như firewal, giờ em phải cấu hình sau để máy C có thể truy cập vào máy A được, mọi người ai biết giúp em với, xin cảm ơn
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 30/03/2011 15:55:58 (+0700) | #9 | 234279
crazym
Member

[Minus]    0    [Plus]
Joined: 12/12/2010 23:03:48
Messages: 31
Offline
[Profile] [PM]
Mô hình như bạn thì cũng ko quá khó để thực hiện nhưng đòi hỏi phải đọc qua tài liệu về Routing và iptables.
Tớ góp ý thế này(dựa theo kinh nghiệm từ các bác ở đây hướng dẫn):
#Bạn có 2 mạng:
192.168.1.0/24(INTNET)
172.16.1.0/24(EXTNET)
Yêu cầu đặt ra, máy ở EXTNET có thể truy cập các dịch vụ tại máy cài dịch vụ ở INTNET.
Đầu tiên phải cho 2 mạng thông nhau tức là bạn phải NAT để 2 mạng "nhìn thấy nhau". Sau đó
mới tính chuyện truy cập dịch vụ này, dịch vụ kia. Vậy tìm hiểu về NAT bằng iptables đi nhá.
Thân
_-+-__-+-__-+-__-+-__-+-_
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 30/03/2011 15:58:08 (+0700) | #10 | 234280
crazym
Member

[Minus]    0    [Plus]
Joined: 12/12/2010 23:03:48
Messages: 31
Offline
[Profile] [PM]
Một số link bạn có thể tham khảo:

http://vnexperts.net/bai-viet-ky-thuat/nix/793-vi-d-v-cach-cu-hinh-iptables.html
http://congdongit.org/linux-unix/1215-cau-hinh-cho-iptables-firewall.html

Đặt biệt là:
/hvaonline/posts/list/105.html
/hvaonline/posts/list/154.html
/hvaonline/posts/list/25676.html
Các tiểu tiết khác như làm thế nào để chạy script rules cho iptables thì chắc là bạn biết rùi. Chúc thành công.
_-+-__-+-__-+-__-+-__-+-_
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 02/04/2011 22:25:11 (+0700) | #11 | 234483
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Cảm ơn anh Crazym nhiều!
Em đã đọc và cũng hiểu ra nhiều hơn.
Nhưng có một số lỗi em không hiểu vì sao, hôk viết em có cài đặt thiếu j hok? Như em viết rule xong tắt máy hôm sau mở lại thì nó hok lưu và như chưa có rule gì, mặc dù em đã tạo thư mục /etc/sysconfig/iptables và chmod cho nó rôi. Mỗi lần cấu hình xong em muốn lưu cấu hình dùng lệnh service iptables save lưu thì nó báo unrecongnized service.
Hình như nó làm việc chả đả động j tới cái /etc/sysconfig/iptables hết. Trong tập tin đó có luật mà khi khởi động lên nó hok nhận được coi như chưa có luật nào. Mọi người có thể giúp em làm thế nào để khi khởi động mà vẫn còn giữ nguyên các rule như trước và sửa các lỗi ở trên.
Thanks mọi người nhiều.

Đây là hình e ghi lại

[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 02/04/2011 22:59:43 (+0700) | #12 | 234489
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
https://help.ubuntu.com/community/IptablesHowTo#Saving iptables
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 04/04/2011 19:32:43 (+0700) | #13 | 234671
servers_ht
Member

[Minus]    0    [Plus]
Joined: 11/10/2010 22:53:50
Messages: 17
Offline
[Profile] [PM]
để máy C có thể truy cập vào máy A bằng một ứng dụng nào đó chẳng hạn như web,ftp ... thì bạn phải mở port đó trên firewall.
ví dụ : ở đây tôi mở port 80
iptables –A INPUT –s 0/0 –p tcp --port 80 –j ACCEPT
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 13/04/2011 14:49:27 (+0700) | #14 | 235370
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Mấy anh cho em hỏi, em có viết 1 file .sh để chạy cấu hình mà khi chạy thì nó lại báo lỗi mà em hok biết lỗi gì, em có kèm theo hình, mấy anh coi thử và giúp em sửa lỗi với.
Thanks mấy anh nhiều.
Báo là lỗi ở dòng thứ 2



[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 13/04/2011 16:13:03 (+0700) | #15 | 235374
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Bạn bị lẫn lộn rồi. input cho iptables-restore phải là một file có cấu trúc iptables rules (những gì bạn nhìn thấy khi chạy iptables-save ấy), chứ không phải là một file bash để add rules cho iptables.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 14/04/2011 09:39:03 (+0700) | #16 | 235419
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Cảm ơn anh, vậy giờ em muốn chạy file cấu hình đó thì làm như thế nào anh. Anh chỉ cho e tài liệu về phần đó được hôk?
Em có copy nội dung của file trên vào file iptables để khi khởi động nó sẽ tự động load cấu hình từ file iptables mà vẫn hok được, coi cấu hình hok có j hết
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 14/04/2011 09:54:22 (+0700) | #17 | 235422
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

886 wrote:
Cảm ơn anh, vậy giờ em muốn chạy file cấu hình đó thì làm như thế nào anh.
 

"file cấu hình đó" là file bash ở trên hả? Nếu vậy thì chỉ cần:
- chmod +x /path/to/iptables.sh
- sh /path/to/iptables.sh

886 wrote:

Em có copy nội dung của file trên vào file iptables để khi khởi động nó sẽ tự động load cấu hình từ file iptables mà vẫn hok được, coi cấu hình hok có j hết 

"file iptables" là file nào, đặt ở đâu?

Có 2 cách để load iptables rules khi khởi động:
- một là bạn có thể chạy bash file ở trên trong /etc/rc.local. Ubuntu thì tham khảo cái này: https://help.ubuntu.com/community/RcLocalHowto
- hai là chạy bash file đó từ command line đi, sau đó gọi iptables-save > /etc/iptables.rules rồi đọc lại đường link iptables HowTo ở trên.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 14/04/2011 10:23:16 (+0700) | #18 | 235426
actuladn
Member

[Minus]    0    [Plus]
Joined: 25/08/2009 00:44:47
Messages: 89
Location: HCM
Offline
[Profile] [PM] [WWW]
mọi người cho em hỏi vấn đề tương tự trong mô hình của một cty.
modem ----- SW core ---- Client SW
Mục tiêu đưa ra là vẽ lại sơ đồ hạn chế các cuộc tấn công bên ngoài vào, và không ảnh hưởng đến tốc độ truy cập. E có nghĩ đến IPS trên iptables nhưng chưa biết đặt đâu để có hiệu quả tốt nhất.
Em định vẽ sơ đố gắn con IPS vào 1 port sw core.nhưng nếu có tấn công DOS không biết IPS có ngăn chặn được không?
mọi người nêu ý kiến cho e với
Honeyboy Cung Cấp Mật Ong, Sữa Ong Chúa, Phấn Hoa | DHM Văn Phòng Phẩm Giá Rẻ
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 15/04/2011 23:26:25 (+0700) | #19 | 235551
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Em đã làm theo cách anh chỉ, lúc chạy fiel .sh thì nó lại báo lỗi mà em cũng hôk biết tại sao...
Đây là hình về cái lỗi
Bad argument 'SNAT' hok biết có phải lỗi của bảng NAT hok?
Anh giúp e sữa lỗi này với.

[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 16/04/2011 09:48:06 (+0700) | #20 | 235563
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Bạn thảy lên toàn bộ nội dung của config.sh xem (chỉ cần copy paste, đưa vào [ code ] tag cho nhanh, cần gì phải take screenshot cho mệt).

PS: Đoán mò là $EXTIF, $EXTIP chưa định nghĩa ở trên.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 16/04/2011 11:48:54 (+0700) | #21 | 235578
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Anh đoán đúng, em ghi nhầm EXT thành ETX nên lỗi. Thanks anh nhiều.
Lúc trước em cấu hình mấy cái card mạng chạy ok, mà sau khi chạy file cấu hình .sh thì nó báo lỗi chỗ iptables-store, hình dưới



Mô hình của e 3 máy, A B C, máy B 2 card làm firewall, em muốn cấu hình máy C truy cập web ở máy A, code của e như sau:



#!/bin/bash
INTIF="eth1"
INTIP="192.168.1.1"
INTNET="192.168.1.0/24"
LOIF="lo"
LOIP="127.0.0.1"
EXTIF="eth0"
EXTIP="172.16.1.1"
EXTINET="172.16.1.0/24"
TCP_PORTS="80"
HI_PORTS="1024:65535"
IPT="/sbin/iptables"

$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -F -t filter
$IPT -t mangle -X
$IPT -t nat -X
$IPT -X
$IPT -P INTPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -i $INTIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -p tcp -i $INTIF -o $EXTIF -s $INTNET -d $EXTNET --dport $TCP_PORTS -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
 



Anh coi thử đúng hôk, mà khi e chạy nó vẫn hem forward được.
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 16/04/2011 12:08:56 (+0700) | #22 | 235580
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
iptables-restore chứ không phải iptables-store.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 16/04/2011 15:41:35 (+0700) | #23 | 235588
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Em đã xử lý được chỗ restore, thanks anh đã giúp em từ đầu topic tới giờ.
Anh coi giúp file cấu hình em có đúng không sao em truy cập web server từ máy A đến máy C mà không forward được, file cấu hình ở trên đó anh, dưới đây là hình nội dung iptables-save của firewall em.

[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 18/04/2011 09:27:42 (+0700) | #24 | 235690
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Bạn vẽ sơ đồ ra: bỏ hết mấy cái INT, EXT đi cho đơn giản và đỡ nhầm, NIC nào có IP bao nhiêu thì viết vào bên cạnh luôn. Sau đó ngồi hình dung xem từ C muốn truy cập web server trên A thì packet nó đi thế nào. Theo đề bài ở post 8 thì bạn đang bị ngược chiều đấy.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 22/04/2011 21:55:48 (+0700) | #25 | 236012
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Mô hình của em gồm 3 máy như hình, em muốn nhờ firewall NAT để máy trong LAN có thể truy cập web từ Web Server. Ngoài ra tất cả các dịch vụ khác đều DROP.
Mô hình này dự định em sẽ cài thêm snort vào firewall nữa.


Nội dung file cấu hình như em đã post ở trên
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 28/04/2011 10:48:52 (+0700) | #26 | 236342
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Đã giải quyết được, cảm ơn moi người đã theo dõi và giúp đỡ nhìu.
Giời tiếp tục tới phần Snort.... smilie
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 03/05/2011 17:05:21 (+0700) | #27 | 236571
886
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Mấy anh giúp e lỗi này với, em giải nén tập rules của snort mà nó báo lỗi j đó, mặc dù e giải nén mấy file .tar.gz khác vẫn đc


[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 01/06/2014 13:05:31 (+0700) | #28 | 280744
thieumao
Member

[Minus]    0    [Plus]
Joined: 10/01/2011 20:32:50
Messages: 17
Offline
[Profile] [PM]

stuki wrote:
Mô hình : Máy A <---> Máy B (firewall) <---> Internet

Máy B làm firewall nên có 2 card mạng.

Bạn cấu hình card mạng bên ngoài ( nối với internet ) là bridge (cho nhận DHCP từ modem luôn ) , card trong thì để host-only.

Máy A có 1 card mạng, chọn host-only.

Đặt IP cho máy A và card mạng trong của máy B. Sau đó ping qua ping lại kiểm tra thông là OK.

Sau đó đặt luật cấm máy A vào trang web gì đó ( yahoo.com chẳng hạn ).

Và ngồi ở máy A vào thử.

Vậy thôi. smilie 


chào mn, em đang định làm demo theo ntn, hiện ping đc nhưng máy A lại ko truy cập đc vào internet, máy B đang để NAT và host-only

e xài câu lệnh :
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i wlan1 -o wlan0 -j ACCEPT
iptables -A FORWARD -i wlan0 -o wlan1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

nhờ các bác giúp đỡ
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 01/06/2014 13:05:33 (+0700) | #29 | 280745
thieumao
Member

[Minus]    0    [Plus]
Joined: 10/01/2011 20:32:50
Messages: 17
Offline
[Profile] [PM]

stuki wrote:
Mô hình : Máy A <---> Máy B (firewall) <---> Internet

Máy B làm firewall nên có 2 card mạng.

Bạn cấu hình card mạng bên ngoài ( nối với internet ) là bridge (cho nhận DHCP từ modem luôn ) , card trong thì để host-only.

Máy A có 1 card mạng, chọn host-only.

Đặt IP cho máy A và card mạng trong của máy B. Sau đó ping qua ping lại kiểm tra thông là OK.

Sau đó đặt luật cấm máy A vào trang web gì đó ( yahoo.com chẳng hạn ).

Và ngồi ở máy A vào thử.

Vậy thôi. smilie 


chào mn, em đang định làm demo theo ntn, hiện ping đc nhưng máy A lại ko truy cập đc vào internet, máy B đang để NAT và host-only

e xài câu lệnh :
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i wlan1 -o wlan0 -j ACCEPT
iptables -A FORWARD -i wlan0 -o wlan1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

nhờ các bác giúp đỡ
[Up] [Print Copy]
  [Question]   Giúp bố trí mô hình demo firewall iptables 01/06/2014 17:44:55 (+0700) | #30 | 280746
[Avatar]
startbkhn
Member

[Minus]    0    [Plus]
Joined: 25/09/2012 00:52:46
Messages: 57
Offline
[Profile] [PM]
Chào các anh!
Em cũng cùng vấn đề nhưng ở mức thấp hơn.
Em đọc 1 đoạn code sau:
Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -m state –-state NEW,ESTABLISHED -p tcp –dport 22 -j ACCEPT
-A OUTPUT -m state –-state ESTABLISHED -p tcp –sport 22 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Nó báo lỗi ở đoạn --state.
Em chưa có kiến thức gì về viết rule. Anh nào có thể cho em xin ít kiến thức định hướng được không ạ?
Em cần 1 tài liệu về các câu lệnh và ví dụ. Em cảm ơn nhiều!
Lương tâm trong sạch là mục đích theo đuổi cuối cùng
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|