Trên Linux, Firewall – tường lửa rất cần thiết để kiểm soát lưu lượng mạng đến và đi. Rất dễ dàng cho phép hoặc chặn địa chỉ IP và cổng bằng cách sử dụng tường lửa.
Trong một số cài đặt CentOS 7, tường lửa hệ thống sẽ chặn hầu hết lưu lượng đến theo mặc định. Bạn có thể cần cho phép tất cả lưu lượng truy cập từ một địa chỉ IP cụ thể, chẳng hạn như máy tính cục bộ hoặc máy chủ quản lý để đăng nhập vào máy chủ. Dưới đây là cách cho phép tất cả lưu lượng truy cập từ một địa chỉ IPv4 thông qua Firewall CentOS 7 bằng cách sử dụng Firewall – cmd và Iptabes.
Sử dụng Firewall – cmd
Firewalld là một công cụ quản lý tường lửa trong hệ điều hành Linux. Nó được cấu hình bằng các tệp XML. Chúng ta có thể sử dụng giao diện dòng lệnh của firewall-cmd để cấu hình và thao tác các quy tắc của firewall. Trong ví dụ dưới đây chúng tôi sử dụng “11.22.33.44” làm địa chỉ IP mẫu. Để thực hiện bạn hãy thêm quy tắc mới này. Lệnh này cho phép tất cả lưu lượng truy cập từ địa chỉ IPv4 nguồn 11.22.33.44 đi qua, bao gồm tất cả các cổng.
firewall-cmd--zone=public--add-rich-rule='rule family="ipv4" source address="11.22.33.44" accept'
Sử dụng Iptabes
Ngoài ra bạn có thể sử dụng Iptables để thao tác một số lệnh liên quan khác. Iptables sử dụng một tập hợp các bảng có các chuỗi chứa một tập hợp các quy tắc được tạo sẵn hoặc do người dùng xác định. Khi sử dụng các quy tắc này, chúng ta có thể lọc lưu lượng mạng trên các máy Linux.
Chạy lệnh dưới đây để cho phép tất cả các kết nối HTTP (cổng 80) đến. Trong đó lệnh thứ hai cho phép lưu lượng đi của các kết nối HTTP đã thiết lập. Lệnh này được yêu cầu nếu chính sách gửi đi không được đặt thành ACCEPT (CHẤP NHẬN):
# sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT # sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Chạy lệnh dưới đây để cho phép nhiều cổng đến. Lệnh dưới đây sẽ chấp nhận lưu lượng từ các cổng 22,53 và 80:
# /sbin/iptables -A INPUT -p tcp --match multiport --dports 22,53,80 -j ACCEPT
Lệnh dưới đây sẽ từ chối tất cả các kết nối đến cho cổng 80:
# /sbin/iptables -A OUTPUT -p tcp --dport 80 -j DROP # /sbin/service iptables save
Chặn địa chỉ IP trong IPtables. Thay thế 173.248.192.11 bằng Địa chỉ IP của bạn:
# sudo iptables -A INPUT -s 173.248.192.11 -j DROP
Mở cổng cho địa chỉ IP cụ thể trong bảng IP. Cho phép SSH Đến từ một địa chỉ IP cụ thể hoặc mạng con:
# sudo iptables -A INPUT -p tcp -s 173.248.192.11 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT # sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Trên đây là hướng dẫn cách cho phép tất cả lưu lượng truy cập từ một địa chỉ IPv4 thông qua Firewall CentOS 7. Truy cập zingserver.com để biết thêm nhiều thông tin hữu ích về VPS. Chúc các bạn thành công!
