Posted inFirewall Linux/ Unix

Cấu hình tường lửa IP6TABLES trên Ubuntu

18 May 2024No CommentsPosted inFirewall, Linux/ Unix

Ip6tables là tiện ích tường lửa sử dụng chuỗi chính sách để cho phép hoặc chặn lưu lượng truy cập. Nó có thể định cấu hình các bảng, chuỗi hoặc quy tắc IPv6 do tường lửa nhân Linux cung cấp.

Các bước cấu hình cơ bản

1. Cài đặt: (When installing iptables package, it will include the ip6tables)

apt install iptables
apt install iptables-persistent

2. Kiểm tra iptables đã được bật:

ip6tables -L -n -v

3. Xóa hết các rule cũ

ip6tables -F

4. Mở cho phép dịch vụ SSH, port 22 kết nối đến

ip6tables -A INPUT -p tcp –dport 22 -m state –state NEW -j ACCEPT

5. Xóa hết các trình quản lý firewall khác có khả năng gâp xung đột với iptables: ufw, nftables…

apt purge nftables

apt purge ufw

ufw disable

6. Cấu hình cho phép cổng loopback:

IPv6: ::1/128

Apply the rules:

ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
ip6tables -A INPUT -s ::1 -j DROP

7. Cấu hình cho phép kết nối mọi connection ra bên ngoài và các kết nối đã được thiết lập ( tình trạng ESTABLISHED).

ip6tables -A OUTPUT -p tcp -m state –state NEW,ESTABLISHED -j ACCEPT
ip6tables -A OUTPUT -p udp -m state –state NEW,ESTABLISHED -j ACCEPT
ip6tables -A OUTPUT -p icmp -m state –state NEW,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p tcp -m state –state ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p udp -m state –state ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p icmp -m state –state ESTABLISHED -j ACCEPT

8. Chỉ mở các port cần thiết

Liệt kê các port đang listen sử dụng lệnh ss

root@freelinux:~# ss -4tuln
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
udp UNCONN 0 0 *:5355 *:*
udp UNCONN 0 0 127.0.0.53%lo:53 *:*
udp UNCONN 0 0 10.0.2.15%enp0s3:68 *:*
tcp LISTEN 0 80 127.0.0.1:3306 *:*
tcp LISTEN 0 128 *:5355 *:*
tcp LISTEN 0 128 *:22 *:*

Liệt kê các firewall rules

ip6tables -L INPUT -v -n

Cấu trúc lệnh để mở port:

ip6tables -A INPUT -p <protocol> –dport <port> -m state –state NEW -j ACCEPT

9. Thêm cấu hình mặc định từ chốt các connection khác

Ý tưởng là sau khi cấu hình permit port hoặc IP thì cấu hình rule deny ở cuối cùng để chặn tất cả các kết nối khác.

ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP

Last updated on 18 May 2024

Comments

No comments yet. Why don’t you start the discussion?

Leave a Reply