Iptables là một hệ thống tường lửa (Firewall) tiêu chuẩn được cấu hình, tích hợp mặc định trong hầu hết các bản phân phối của hệ điều hành Linux (CentOS, Ubuntu…). Iptables hoạt động dựa trên việc phân loại và thực thi các package ra/vào theo các quy tắc được thiết lập từ trước.

iptables

Trong bài viết này, mình sẽ hướng dẫn sử dụng Iptables một cách đơn giản và dễ dàng nhất để các bạn có thể tự thiết lập VPS firewall cho riêng mình, cũng như mở port theo nhu cầu.

Kiểm tra tình trạng đóng/mở 1 port bất kỳ, các bạn sử dụng website Port Check

1. Cài đặt Iptables

– Iptables thường được cài đặt mặc định trong hệ thống. Nếu chưa được cài đặt:

  • CentOS: # yum install iptables
  • Ubuntu: # apt-get install iptables

CentOS 7 sử dụng FirewallD làm tường lửa mặc định thay vì Iptables. Nếu bạn muốn sử dụng Iptables thực hiện:

# systemctl mask firewalld
# systemctl enable iptables
# systemctl enable ip6tables
# systemctl stop firewalld
# systemctl start iptables
# systemctl start ip6tables

– Kiểm tra Iptables đã được cài đặt trong hệ thống:
Trên CentOS:

# rpm -q iptables
iptables-1.4.7-16.el6.x86_64
# iptables --version
iptables v1.4.7

Trên Ubuntu:

# iptables --version
iptables v1.6.0

Lưu ý: Trước khi cài đặt trên Ubuntu, bạn cần vô hiệu ufw để tránh xung đột do ufw và iptables đều là tường lửa mặc định.

# ufw disable

– Check tình trạng của Iptables, cũng như cách bật tắt services trên CentOS

# service iptables status
# service iptables start
# service iptables stop
# service iptables restart

– Khởi động Iptables cùng hệ thống

# chkconfig iptables on

Trên Ubuntu, Iptables là chuỗi lệnh không phải là 1 services nên bạn không thể start, stop hay restart. Một cách đơn giản để vô hiệu hóa là bạn xóa hết toàn bộ các quy tắc đã thiết lập bằng lệnh flush:

# iptables -F

2. Các nguyên tắc áp dụng trong Iptables

Để bắt đầu, bạn cần xác định các services muốn đóng/mở và các port tương ứng.

Ví dụ, với một website và mail server thông thường

  • Để truy cập VPS bằng SSH, bạn cần mở port SSH – 22.
  • Để truy cập website, bạn cần mở port HTTP – 80 và HTTPS – 443.
  • Để gửi mail, bạn sẽ cần mở port SMTP – 22 và SMTPS – 465/587
  • Để người dùng nhận được email, bạn cần mở port POP3 – 110, POP3s – 995, IMAP – 143 và IMAPs – 993

Sau khi đã xác định được các port cần mở, bạn cần thiết lập các quy tắc tường lửa tương ứng để cho phép.

Bạn có thể xóa toàn bộ các quy tắc firewall mặc định để bắt đầu từ đầu: # iptables -F

Mình sẽ hướng dẫn các bạn xem và hiểu các quy tắc của iptables. Liệt kê các quy tắc hiện tại:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:urd
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Cột 1: TARGET hành động sẽ được áp dụng cho mỗi quy tắc

  • Accept: gói dữ liệu được chuyển tiếp để xử lý tại ứng dụng cuối hoặc hệ điều hành
  • Drop: gói dữ liệu bị chặn, loại bỏ
  • Reject: gói dữ liệu bị chặn, loại bỏ đồng thời gửi một thông báo lỗi tới người gửi

Cột 2: PROT (protocol – giao thức) quy định các giao thức sẽ được áp dụng để thực thi quy tắc, bao gồm all, TCP hay UDP. Các ứng dụng SSH, FTP, sFTP… đều sử dụng giao thức TCP.

Cột 4, 5: SOURCE và DESTINATION địa chỉ của lượt truy cập được phép áp dụng quy tắc.

3. Cách sử dụng Iptables để mở port VPS

Để mở port trong Iptables, bạn cần chèn chuỗi ACCEPT PORT. Cấu trúc lệnh để mở port xxx như sau:

# iptables -A INPUT -p tcp -m tcp --dport xxx -j ACCEPT

A tức Append – chèn vào chuỗi INPUT (chèn xuống cuối)
hoặc

# iptables -I INPUT -p tcp -m tcp --dport xxx -j ACCEPT

I tức Insert- chèn vào chuỗi INPUT (chèn vào dòng chỉ định rulenum)
Để tránh xung đột với rule gốc, các bạn nên chèn rule vào đầu, sử dụng -I

3.1. Mở port SSH

Để truy cập VPS qua SSH, bạn cần mở port SSH 22. Bạn có thể cho phép kết nối SSH ở bất cứ thiết bị nào, bởi bất cứ ai và bất cứ dâu.

# iptables -I INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Mặc định sẽ hiển thị ssh cho cổng 22, nếu bạn đổi ssh thành cổng khác thì iptables sẽ hiển thị số cổng

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh

Bạn có thể chỉ cho phép kết nối VPS qua SSH duy nhất từ 1 địa chỉ IP nhất định (xác định dễ dàng bằng cách truy cập các website check ip hoặc lệnh # w)

# iptables -I INPUT -p tcp -s xxx.xxx.xxx.xxx -m tcp --dport 22 -j ACCEPT

Khi đó, trong iptables sẽ thêm rule

ACCEPT     tcp  --  xxx.xxx.xxx.xxx       anywhere            tcp dpt:ssh

3.2. Mở port Web Server

Để cho phép truy cập vào webserver qua port mặc định 80 và 443:

# iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# iptables -I INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Mặc định Iptables sẽ hiển thị HTTP và HTTPS

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https

3.3. Mở port Mail

– Để cho phép user sử dụng SMTP servers qua port mặc định 25 và 465:

# iptables -I INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# iptables -I INPUT -p tcp -m tcp --dport 465 -j ACCEPT

Mặc định Iptables sẽ hiển thị SMTP và URD

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:urd

– Để user đọc email trên server, bạn cần mở port POP3 (port mặc định 110 và 995)

# iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT

Mặc định Iptables sẽ hiển thị POP3 và POP3S

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s

Bên cạnh đó, bạn cũng cần cho phép giao thức IMAP mail protocol (port mặc định 143 và 993)

# iptables -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT

Mặc định Iptables sẽ hiển thị IMAP và IMAPS

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps

3.4. Chặn 1 IP truy cập

# iptables -A INPUT -s IP_ADDRESS -j DROP

– Chặn 1 IP truy cập 1 port cụ thể:

#iptables -A INPUT -p tcp -s IP_ADDRESS –dport PORT -j DROP

Sau khi đã thiết lập đầy đủ, bao gồm mở các port cần thiết hay hạn chế các kết nối, bạn cần block toàn bộ các kết nối còn lại và cho phép toàn bộ các kết nối ra ngoài từ VPS

# iptables -P OUTPUT ACCEPT
# iptables -P INPUT DROP

Sau khi đã thiết lập xong, bạn có thể kiểm tra lại các quy tắc

# service iptables status

Hoặc

# iptables -L –n

-n nghĩa là chúng ta chỉ quan tâm mỗi địa chỉ IP . Ví dụ, nếu chặn kết nối từ hocvps.com thì iptables sẽ hiển thị là xxx.xxx.xxx.xxx với tham số -n
Cuối cùng, bạn cần lưu lại các thiết lập tường lửa Iptables nếu không các thiết lập sẽ mất khi bạn reboot hệ thống. Tại CentOS, cấu hình được lưu tại /etc/sysconfig/iptables.

# iptables-save | sudo tee /etc/sysconfig/iptables

Hoặc

# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

Về cơ bản, bài viết hướng dẫn các bạn những điều cơ bản nhất để sử dụng Iptables như 1 tường lửa trong các VPS linux, đủ cho 1 website thông thường hay email server. Tuy vậy, vẫn còn rất nhiều điều có thể làm với Iptables. Mong rằng, bài hướng dẫn này sẽ cung cấp cho các bạn sự bảo mật cơ bản cho VPS

Comment của bạn

Lưu ý: tất cả comment đều được kiểm duyệt cẩn thận! Nếu có code bạn hãy up lên pastebin.com rồi để lại link trong comment.

25 Comments

  1. Tommy 36 comment

    Cho mình hỏi làm sao để update version của iptables đã cài đặt trên CenOS7
    Version hiện tại của mình là v1.4.21
    Nhưng bản mới nhất hiện tại là iptables-1.8.7
    Xin vui lòng hướng dẫn ạ.
    Cảm ơn admin và team

  2. Trường 1 comment

    Chào a , a có thể cho em cách mở cổng để có truy cập các dịch vụ DNS (Bind -Phân giải tên miền) trên máy vật lý ko ạ .

  3. phong 1 comment

    câu lệnh yum install iptables trên centos 7 hình như ko hiệu quả với mình nên mình thay bằng yum install iptables-services và đã cài đặt thành công

  4. Nam 4 comment

    Sao mình cài đặt centos 6.9 ở vps DO thì không tìm thấy file iptables để đóng mở port nhỉ
    Mình cài xong rồi nhưng mở quản trị trên trình duyệt không được

    1. Việt Phương Moderator

      CentOS 6.9 thường dùng iptables. Bạn kiểm tra xem VPS đang dùng iptables hay firewalld

  5. trọng đức 6 comment

    Mình làm tới lệnh này: iptables -P INPUT DROP
    Là VPS không kết nối đc VPS ở OVH luôn. Sài hocvps script. mở port 22 cho SSH. giờ ko vào đc vps từ OVH luôn. Có cách nào giải quyết mà ko phải cài lại VPS ko bạn? Bao nhiêu công sức bỏ ra setup, viết bài mà chưa sao lưu

      1. Việt Phương Moderator

        HocVPS đã thiết lập IPTABLES cho hầu hết các port chuyên dụng, bạn chỉ cần mở thêm các port đặc biệt ngoài. Và Port SSH đã đc chuyển thành 2222, nếu bạn muốn dùng 22 thì phải chuyển port SSH sang 22 thì sau đó mới đến bước mở trên tường lửa
        Và nếu bạn dùng CentOS 7 thì là FirewallD, không phải IPtables

  6. Lâm 11 comment

    A phương cho em hỏi tí , từ vps em muốn truy cập qua proxy , nhưng bị iptables chặn rule , do lúc trước có copy mấy cái rule ở trên mạng giờ làm sao mở để có thể truy cập qua proxy a.

    proxy : 10.0.4.5:8080

  7. Firewalls 2 comment

    Em chưa hiểu về Iptables. e cài Linux mà nó không có Iptables. em gõ lệnh : # apt-get install iptables .nó ra : reading package lists . . .Done
    Building dependency tree
    Reading sate information. . .done
    iptables is already the newest version (1.6.1.-2)
    0 upgraded, 0 newly installed, 0to remove and 383 not upgared
    Đó. em không tải được ạ.Ai giúp em với

    1. Việt Phương Moderator

      iptables is already the newest version (1.6.1.-2) thì bạn tải cái gì nữa?

  8. dũng 119 comment

    cho mình hỏi làm sao để biết list ip đã block của iptables
    và mình muốn hỏi câu lệnh để gỡ block 1 ip của iptables thì như nào ạ .
    cám ơn bác

    1. Việt Phương Moderator

      Đó là bên Fail2Ban nhé bạn. Còn rule của Iptables thể hiện hết trong iptables -L -n rồi

  9. tien le 5 comment

    mình có 1 sever ở ovh.com, có cài hocvps. đang chạy bình thường thì các port bị đóng hết.

    liên hệ server thi họ bảo bị đóng do Firewall. mình có kiểm tra iptables thì vẫn như cấu hình ban đầu của hocvps.

    các bạn cho mình hỏi phải bỏ chạn ở file nào nữa ?

    1. Việt Phương Moderator

      Kiểm tra trên http://ping.eu/port-chk/ các port. Với netstat -tlpn. Nếu bạn không cài thêm firewall(như csf, firewalld) thì chỉ có iptables và fail2ban. Ngoài ra, có thể OVH có hệ thống firewall bên ngoài (giống như GG Cloud), bạn kiểm tra bên network xem

      1. tien le 5 comment

        của mình có firewalld,iptables và fail2ban mình đã kiểm tra:

        1. iptables vẫn mở như mặc định
        2. không phải fail2ban

        chỉ còn firewalld thì mình không biết là tìm ở đâu..

        hiện tại chỉ vào được chế độ rescue mode với hệ điều hành debian và sửa trên các file liên quan thôi.

        1. Việt Phương Moderator

          Tức VPS bạn đang ở trạng thái rescus mode chứ không phải trạng thái hoạt động bình thường? Vậy các service kia đâu hoạt động bình thường nhỉ

  10. tinh 1 comment

    làm sao để phân quyền truy cập internet cho user qua group ạ. ai biết chỉ giúp với

  11. Lộc 52 comment

    hi Luân,
    Làm sao kiểm tra IP của mình đã bị ban hay chưa? Có cách nào thêm loại trừ không?

    1. Việt Phương Moderator

      Bạn iptables -L -n là hiện hết các rule, trong đó nếu ban IP khỏi truy cập port cũng sẽ hiện ra.
      Ngoài ra, nếu ý bạn là ban bởi HocVPS Script thì là Fail2Ban bạn nhé. Trong đó có 2 rule, SSH (ban khi truy cập SSH) và nginx-http-auth(ban khi truy cập HocVPS Admin). Cụ thể bạn xem tại https://hocvps.com/cai-dat-fail2ban-tren-centos/

      1. Lộc 52 comment

        Mình đang sử dụng hocvps. Công nhận, IP bị ban dễ như nhấp chuột ý 😀

        1. Việt Phương Moderator

          Sai 3 lần là ban rồi bạn, bảo mật chống Brute Force Attack 🙂 HocVPS chỉ dùng 2 rule ban SSH và Nginx HTTP Auth
          Kiểm tra IP ban: fail2ban-client status ssh-iptablesfail2ban-client status nginx-http-auth
          Để xóa IP ban khỏi rule: fail2ban-client set ssh-iptables unbanip xxx.xxx.xxx.xxx. Tương tự với nginx-http-auth