Tidadigi Logo

Lệnh iptables trong linux

iptables Linux: Hướng dẫn từ A-Z cho người mới bắt đầu (Kèm ví dụ thực tế)

Chào bạn đến với thế giới của bảo mật hệ thống Linux! Nếu bạn là một quản trị viên hệ thống, nhà phát triển, hoặc đơn giản chỉ là người tò mò về an ninh mạng, thì iptables là một công cụ không thể thiếu trong hộp công cụ của bạn. Bài viết này sẽ cung cấp một hướng dẫn toàn diện, dễ hiểu về iptables, giúp bạn nắm vững cách thức hoạt động và ứng dụng nó vào thực tế.

iptables là gì? Tại sao nó quan trọng?

iptables là một tường lửa (firewall) mạnh mẽ được tích hợp sẵn trong hầu hết các bản дистрибутив Linux. Nó hoạt động ở cấp độ kernel, cho phép bạn kiểm soát lưu lượng mạng ra vào hệ thống dựa trên các quy tắc do bạn định nghĩa. Nói một cách đơn giản, iptables giống như một người bảo vệ cổng, kiểm tra từng gói dữ liệu (packet) và quyết định xem nó có được phép đi qua hay không.

Vậy tại sao iptables lại quan trọng? Trong môi trường mạng ngày càng phức tạp và đầy rẫy các mối đe dọa, việc bảo vệ hệ thống khỏi các truy cập trái phép là vô cùng quan trọng. iptables giúp bạn ngăn chặn các cuộc tấn công từ bên ngoài, hạn chế truy cập vào các dịch vụ nhạy cảm, và bảo vệ dữ liệu của bạn.

Các thành phần cơ bản của iptables

iptables hoạt động dựa trên các bảng (tables), chuỗi (chains) và quy tắc (rules). Để hiểu rõ hơn, hãy cùng khám phá từng thành phần:

  • Bảng (Tables): iptables có 4 bảng chính:
    • FILTER: Bảng mặc định, được sử dụng để lọc các gói tin dựa trên địa chỉ nguồn, địa chỉ đích, giao thức, cổng...
    • NAT: Sử dụng để thực hiện Network Address Translation (NAT), cho phép chia sẻ kết nối internet hoặc ẩn địa chỉ IP thực của hệ thống.
    • MANGLE: Sử dụng để sửa đổi các gói tin, ví dụ như thay đổi TTL (Time To Live).
    • RAW: Sử dụng cho các tác vụ đặc biệt, ví dụ như bỏ qua theo dõi kết nối.
  • Chuỗi (Chains): Mỗi bảng chứa một hoặc nhiều chuỗi. Chuỗi là một tập hợp các quy tắc được áp dụng tuần tự cho các gói tin. Có 3 chuỗi mặc định:
    • INPUT: Áp dụng cho các gói tin đến hệ thống.
    • OUTPUT: Áp dụng cho các gói tin đi ra khỏi hệ thống.
    • FORWARD: Áp dụng cho các gói tin được chuyển tiếp qua hệ thống (ví dụ, khi hệ thống đóng vai trò là router).
  • Quy tắc (Rules): Mỗi quy tắc chỉ định một tiêu chí (ví dụ, địa chỉ IP nguồn) và một hành động (ví dụ, chấp nhận hoặc từ chối gói tin). Các hành động phổ biến bao gồm:
    • ACCEPT: Cho phép gói tin đi qua.
    • DROP: Từ chối gói tin một cách im lặng (không gửi thông báo lỗi).
    • REJECT: Từ chối gói tin và gửi thông báo lỗi cho người gửi.

Cú pháp cơ bản của lệnh iptables

Để sử dụng iptables, bạn cần làm quen với cú pháp lệnh cơ bản. Dưới đây là cấu trúc chung:

iptables [options] [chain] [rule-specification]

Trong đó:

  • options: Các tùy chọn điều khiển hoạt động của iptables, ví dụ như -A (thêm quy tắc), -D (xóa quy tắc), -L (liệt kê quy tắc).
  • chain: Chuỗi mà bạn muốn thao tác, ví dụ như INPUT, OUTPUT, FORWARD.
  • rule-specification: Định nghĩa tiêu chí và hành động của quy tắc.

Ví dụ:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Lệnh này thêm một quy tắc vào chuỗi INPUT để cho phép lưu lượng TCP đến cổng 22 (SSH). Hãy cùng phân tích:

  • -A INPUT: Thêm quy tắc vào chuỗi INPUT.
  • -p tcp: Chỉ áp dụng cho giao thức TCP.
  • --dport 22: Chỉ áp dụng cho cổng đích 22.
  • -j ACCEPT: Hành động là chấp nhận gói tin.

Ví dụ thực tế: Cấu hình tường lửa iptables cho máy chủ web

Giả sử bạn có một máy chủ web chạy trên cổng 80 (HTTP) và 443 (HTTPS). Bạn muốn cấu hình iptables để:

  1. Cho phép lưu lượng HTTP và HTTPS từ bất kỳ địa chỉ IP nào.
  2. Cho phép lưu lượng SSH từ một địa chỉ IP cụ thể (ví dụ: địa chỉ IP của máy tính cá nhân của bạn).
  3. Chặn tất cả lưu lượng còn lại đến máy chủ.

Dưới đây là các lệnh iptables bạn có thể sử dụng:


  iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  iptables -A INPUT -p tcp -s [ĐỊA_CHỈ_IP_CỦA_BẠN] --dport 22 -j ACCEPT
  iptables -A INPUT -j DROP

Lưu ý quan trọng: Hãy thay thế [ĐỊA_CHỈ_IP_CỦA_BẠN] bằng địa chỉ IP thực tế của bạn. Quy tắc cuối cùng (iptables -A INPUT -j DROP) sẽ chặn tất cả các kết nối đến, ngoại trừ những kết nối đã được cho phép trước đó.

Lưu và khôi phục quy tắc iptables

Các quy tắc iptables được lưu trữ trong bộ nhớ và sẽ bị mất khi bạn khởi động lại hệ thống. Để lưu và khôi phục quy tắc, bạn có thể sử dụng các công cụ như iptables-save và iptables-restore.

Để lưu quy tắc:

iptables-save > /etc/iptables/rules.v4

Để khôi phục quy tắc:

iptables-restore < /etc/iptables/rules.v4

Bạn cũng có thể cấu hình hệ thống để tự động khôi phục quy tắc iptables khi khởi động lại. Cách thực hiện phụ thuộc vào bản дистрибутив Linux bạn đang sử dụng. Hãy tham khảo tài liệu hướng dẫn của дистрибутив để biết thêm chi tiết.

So sánh iptables và firewalld

firewalld là một tường lửa khác phổ biến trong Linux, được thiết kế để đơn giản hóa việc quản lý tường lửa. Dưới đây là bảng so sánh ngắn gọn giữa iptables và firewalld:

Tính năng iptables firewalld
Độ phức tạp Phức tạp hơn, yêu cầu hiểu rõ về các khái niệm mạng. Đơn giản hơn, sử dụng các "zone" để quản lý quy tắc.
Tính linh hoạt Linh hoạt hơn, cho phép cấu hình chi tiết đến từng gói tin. Ít linh hoạt hơn, nhưng đủ cho hầu hết các trường hợp sử dụng.
Khả năng mở rộng Khó mở rộng hơn, cần viết script phức tạp. Dễ mở rộng hơn, có thể sử dụng các "rich rule" để tạo quy tắc phức tạp.
Hỗ trợ Được hỗ trợ rộng rãi trên các bản дистрибутив Linux. Được hỗ trợ tốt trên các bản дистрибутив mới.

Nhìn chung, iptables phù hợp với những người dùng có kinh nghiệm và cần kiểm soát chi tiết tường lửa. firewalld phù hợp với những người dùng mới bắt đầu hoặc muốn một giải pháp đơn giản và dễ quản lý.

Mẹo và thủ thuật khi sử dụng iptables

  • Kiểm tra kỹ quy tắc trước khi áp dụng: Một quy tắc sai có thể chặn tất cả lưu lượng đến hệ thống, khiến bạn không thể truy cập từ xa.
  • Sử dụng comments để ghi chú quy tắc: Điều này giúp bạn dễ dàng hiểu và quản lý quy tắc sau này. Ví dụ: iptables -A INPUT -p tcp --dport 22 -j ACCEPT -m comment --comment "Cho phép SSH từ địa chỉ IP của tôi".
  • Sử dụng các công cụ như tcpdump để theo dõi lưu lượng mạng: Điều này giúp bạn xác định các vấn đề về tường lửa.
  • Tìm hiểu về các module mở rộng của iptables: Các module như conntrack và recent cung cấp các tính năng nâng cao như theo dõi kết nối và chặn các cuộc tấn công brute-force.

FAQ về iptables

Làm thế nào để xóa một quy tắc iptables?

Bạn có thể xóa một quy tắc bằng cách sử dụng tùy chọn -D. Ví dụ: iptables -D INPUT -p tcp --dport 22 -j ACCEPT. Tuy nhiên, cách này yêu cầu bạn phải biết chính xác quy tắc cần xóa. Một cách khác là liệt kê tất cả các quy tắc bằng iptables -L --line-numbers và sau đó xóa quy tắc theo số dòng bằng iptables -D INPUT [số dòng].

Làm thế nào để chặn một địa chỉ IP cụ thể bằng iptables?

Bạn có thể chặn một địa chỉ IP cụ thể bằng cách sử dụng lệnh iptables -A INPUT -s [ĐỊA_CHỈ_IP_CẦN_CHẶN] -j DROP.

Làm thế nào để cho phép ping (ICMP) bằng iptables?

Bạn có thể cho phép ping bằng cách sử dụng lệnh iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT.

Kết luận

iptables là một công cụ mạnh mẽ để bảo vệ hệ thống Linux của bạn. Mặc dù có thể hơi phức tạp đối với người mới bắt đầu, nhưng với sự kiên trì và thực hành, bạn sẽ có thể nắm vững nó và xây dựng một hệ thống phòng thủ vững chắc. Hy vọng bài viết này đã cung cấp cho bạn một nền tảng vững chắc để bắt đầu hành trình khám phá iptables. Chúc bạn thành công!

Last Updated : 20/08/2025