Đóng/mở Port CentOS được quản lý thông qua hệ thống tường lừa mặc định Iptables đối với
1. Mở port VPS
Cài đặt iptables-persistent trên Ubuntu bằng lệnh:Trong quá trình cài đặt, ẽ hỏi bạn có muốn lưu các quy tắc IPv4 và IPv6 hiện tại không. Chọn Yes.
sudo apt-get update sudo apt-get install iptables-persistent
Cú pháp mở port XXX
iptables -I INPUT -p tcp -m tcp --dport XXX -j ACCEPT
Giải thích:
iptables: Là công cụ dòng lệnh để quản lý và cấu hình Netfilter, hệ thống tường lửa tích hợp trong nhân Linux.
-I (Insert): Thêm một quy tắc vào đầu của một chuỗi (chain) cụ thể.
-A (Append) thay vì -I, quy tắc sẽ được thêm vào cuối chuỗi. Việc thêm vào đầu thường được ưu tiên để đảm bảo quy tắc được xử lý trước các quy tắc khác có thể chặn lưu lượng.
INPUT: Là tên của một chuỗi (chain). Chuỗi INPUT xử lý các gói tin đang đi vào hệ thống (đến các ứng dụng hoặc dịch vụ đang chạy trên máy chủ của bạn).
-p tcp: Chỉ định giao thức (protocol) mà quy tắc này áp dụng. Ở đây là tcp (Transmission Control Protocol).
-m tcp: Tải module tcp để có thể sử dụng các tùy chọn cụ thể của giao thức TCP, như cổng đích (--dport).
--dport XXX: Chỉ định cổng đích (destination port). XXX là số cổng bạn muốn cho phép truy cập. Ví dụ, nếu bạn muốn cho phép HTTP, bạn sẽ thay XXX bằng 80. Nếu là HTTPS, bạn sẽ thay bằng 443.
-j ACCEPT: Đây là hành động (target) sẽ được thực hiện khi một gói tin phù hợp với tất cả các điều kiện của quy tắc này.
Lưu lại cấu hìnhnetfilter-persistent save
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6
2. Chặn 1 port
Ví dụ bạn chỉ muốn cho IP 123.123.123.123 được kết nối vào port 8080 (port của mitmproxy)
Cho phép IP cụ thể
iptables -A INPUT -p tcp -s 123.123.123.123 --dport 8080 -j ACCEPT
Chặn tất cả IP khác trên port đó
iptables -A INPUT -p tcp --dport 8080 -j DROP
a. Quy tắc này nói rằng: "Nếu có một gói tin TCP đến chuỗi INPUT, từ địa chỉ IP nguồn 123.123.123.123, và đến cổng đích 8080, thì chấp nhận nó."
b. Quy tắc này nói rằng: "Nếu có một gói tin TCP đến chuỗi INPUT, đến cổng đích 8080 (từ bất kỳ địa chỉ IP nguồn nào), thì hủy bỏ nó."
Khi một gói tin từ bất kỳ IP nào khác (không phải 123.123.123.123) đến cổng 8080:
Nó không khớp với quy tắc đầu tiên (vì IP nguồn không phải 123.123.123.123).
Nó sẽ tiếp tục được kiểm tra với quy tắc thứ hai (--dport 8080 -j DROP).
Gói tin sẽ khớp với quy tắc này và bị hủy bỏ.
3. Kiểm tra lại port đang mở
Danh sách toàn bộ port đang mở:Đối với Iptables
iptables -L INPUT -v -n --line-numbers
4. Xóa 1 dòng quy tắc
iptables -D <TÊN_CHAIN> <SỐ_DÒNG>
Ví dụ, để xóa quy tắc ở dòng thứ 3 trong chain INPUT:
iptables -D INPUT 3
Lưu lại các thay đổi sau khi xóa
netfilter-persistent save
Nhận xét
Đăng nhận xét