Header Ads Widget

Mở port VPS trên CentOS sử dụng iptable

Liên tháng 8 15, 2020

Đóng/mở Port CentOS được quản lý thông qua hệ thống tường lừa mặc định Iptables đối với 

1. Mở port VPS

Cài đặt iptables-persistent trên Ubuntu bằng lệnh:

sudo apt-get update sudo apt-get install iptables-persistent
Trong quá trình cài đặt, ẽ hỏi bạn có muốn lưu các quy tắc IPv4 và IPv6 hiện tại không. Chọn Yes.

Cú pháp mở port XXX
iptables -I INPUT -p tcp -m tcp --dport XXX -j ACCEPT

Giải thích:

iptables: Là công cụ dòng lệnh để quản lý và cấu hình Netfilter, hệ thống tường lửa tích hợp trong nhân Linux.

-I (Insert): Thêm một quy tắc vào đầu của một chuỗi (chain) cụ thể. 

-A (Append) thay vì -I, quy tắc sẽ được thêm vào cuối chuỗi. Việc thêm vào đầu thường được ưu tiên để đảm bảo quy tắc được xử lý trước các quy tắc khác có thể chặn lưu lượng.

INPUT: Là tên của một chuỗi (chain). Chuỗi INPUT xử lý các gói tin đang đi vào hệ thống (đến các ứng dụng hoặc dịch vụ đang chạy trên máy chủ của bạn).

-p tcp: Chỉ định giao thức (protocol) mà quy tắc này áp dụng. Ở đây là tcp (Transmission Control Protocol).

-m tcp: Tải module tcp để có thể sử dụng các tùy chọn cụ thể của giao thức TCP, như cổng đích (--dport).

--dport XXX: Chỉ định cổng đích (destination port). XXX là số cổng bạn muốn cho phép truy cập. Ví dụ, nếu bạn muốn cho phép HTTP, bạn sẽ thay XXX bằng 80. Nếu là HTTPS, bạn sẽ thay bằng 443.

-j ACCEPT: Đây là hành động (target) sẽ được thực hiện khi một gói tin phù hợp với tất cả các điều kiện của quy tắc này.

Lưu lại cấu hình
netfilter-persistent save

 Hoặc lưu trực tiếp vào file cấu hình:
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

2. Chặn 1 port

Ví dụ bạn chỉ muốn cho IP 123.123.123.123 được kết nối vào port 8080 (port của mitmproxy)

Cho phép IP cụ thể

iptables -A INPUT -p tcp -s 123.123.123.123 --dport 8080 -j ACCEPT


Chặn tất cả IP khác trên port đó

iptables -A INPUT -p tcp --dport 8080 -j DROP


a. Quy tắc này nói rằng: "Nếu có một gói tin TCP đến chuỗi INPUT, từ địa chỉ IP nguồn 123.123.123.123, và đến cổng đích 8080, thì chấp nhận nó."

b. Quy tắc này nói rằng: "Nếu có một gói tin TCP đến chuỗi INPUT, đến cổng đích 8080 (từ bất kỳ địa chỉ IP nguồn nào), thì hủy bỏ nó."

Khi một gói tin từ bất kỳ IP nào khác (không phải 123.123.123.123) đến cổng 8080:

Nó không khớp với quy tắc đầu tiên (vì IP nguồn không phải 123.123.123.123).

Nó sẽ tiếp tục được kiểm tra với quy tắc thứ hai (--dport 8080 -j DROP).

Gói tin sẽ khớp với quy tắc này và bị hủy bỏ.

3. Kiểm tra lại port đang mở

Danh sách toàn bộ port đang mở:
Đối với Iptables
iptables -L INPUT -v -n --line-numbers

 4. Xóa 1 dòng quy tắc

Sử dụng lệnh bên dưới để xóa 1 dòng đã thêm
iptables -D <TÊN_CHAIN> <SỐ_DÒNG>

Ví dụ, để xóa quy tắc ở dòng thứ 3 trong chain INPUT:

iptables -D INPUT 3 


Lưu lại các thay đổi sau khi xóa

netfilter-persistent save 

Tags:
Liên

Admin: Liên

Developer: Cashback, Website, CRM, Chatbot Automation, Email Marketing, SMS, ZNS, ZALO, Auto Call....

Nhận xét

Đăng nhận xét