Sử dụng Iptables trên Ubuntu 20.04 để triển khai xây dựng Firewall cơ bản

11/05/2023
539
Lượt xem
Home

Iptables là một package trên Ubuntu 20.04 hỗ trợ cấu hình cho Firewall một cách dễ dàng, nhanh chóng, giúp server luôn an toàn và chống lại các luồng traffic mang mã độc từ bên ngoài. Do đó, trong bài hướng dẫn hôm nay của Vietnix, bạn sẽ được hướng dẫn về cách cấu hình Firewall trên hệ điều hành Ubuntu 20.04 bằng iptables cho cả server có hỗ trợ IPv4 và IPv6.

Đăng ký Vietnix Firewall Anti DDoS toàn diện

Giới thiệu tổng quan

Triển khai Firewall là một bước quan trọng trong việc đảm bảo an toàn cho server. Phần lớn của việc triển khai là đưa ra các quy tắc và chính sách để đặt ra giới hạn nhằm hạn chế những luồng traffic truy cập vào mạng của bạn. Những Firewall như iptables sẽ cho phép người dùng áp dụng các quy tắc đặt ra vào trong cấu trúc của mạng.

Iptables
Iptables

Trong bài hướng dẫn này, bạn sẽ tìm hiểu về cách xây dựng một Firewall để làm cơ sở cho những bộ quy tắc phức tạp hơn. Firewall này sẽ tập trung chủ yếu vào việc cung cấp các giá trị mặc định và thành lập một khuôn khổ giúp nâng cao khả năng mở rộng.

Xem thêm:
Cách quản lý Logfiles bằng Logrotate trên Ubuntu 20.04
Cách cấu hình tường lửa Linux cho Docker Swarm trên CentOS 7

Yêu cầu tiên quyết để triển khai tường lửa cơ bản với Iptables trên Ubuntu 20.04

Để thực hiện theo bài hướng dẫn này, bạn cần có quyền truy cập vào server của Ubuntu 20.04 với một non-root user cấp quyền sudo. Thêm vào đó, bạn cần xem xét lại kỹ lưỡng các chính sách Firewall muốn triển khai.

Cài đặt Persistent Firewall Service

Đầu tiên, bạn cần phải cập nhật bộ nhớ đệm của local package trên máy:

sudo apt update

Sau đó hãy cài đặt iptables-persistent package. Package này sẽ giúp lưu lại các bộ quy tắc và sẽ tự động apply chúng mỗi khi khởi động:

sudo apt install iptables-persistent

Trong quá trình cài đặt, bạn sẽ được hỏi là có muốn lưu các quy tắc hiện có hay không, hãy chọn <Yes>. Một điều lưu ý là bạn sẽ cần chạy lệnh netfilter-persistent để thực thi persistent firewall service của iptables. Tiếp theo, bạn sẽ chỉnh sửa các files quy tắc đã được tạo ra.

Lưu ý về iptables cho IPv6 trong bài hướng dẫn

Trước khi bắt đầu, bạn cần phải nắm rõ về IPv4 và IPv6. Cụ thể, lệnh iptables chỉ xử lí các lưu lượng IPv4. Còn với IPv6, bạn sẽ cần sử dụng một package riêng biệt khác tên ip6tables với các quy tắc được lưu trong các bảng và chuỗi. Đối với lệnh netfilter-persistent, những quy tắc của IPv4 được viết và đọc từ /etc/iptables/rules.v4, trong khi đó những quy tắc của IPv6 sẽ được lưu ở /etc/iptables/rules.v6.

Bài hướng dẫn này được viết để xử lí cho IPv4 và không sử dụng IPv6 trên server. Do đó, nếu dịch vụ của bạn không tận dụng IPv6 thì hãy chặn truy cập hoàn toàn giao thức này như trong bài hướng dẫn dưới đây.

Xem thêm: Hướng dẫn quản lý an toàn các Secrets bằng HashiCorp trên Ubuntu 20.04

Triển khai Firewall Policy cơ bản (cách thực hiện nhanh)

Để có thể khởi chạy Firewall nhanh chóng, ở đây Vietnix sẽ hướng dẫn bạn cách để chỉnh sửa file chứa các quy tắc một cách trực tiếp cũng như cách copy và paste chính sách Firewall đã được hoàn thiện. Để triển khai chính chính sách và framework của Firewall, bạn sẽ cần chỉnh sửa file /etc/iptables/rules.v4 và file /etc/iptables/rules.v6.

Mở file rules.v4 bằng editor tùy ý, ở đây sử dụng nano:

sudo nano /etc/iptables/rules.v4

Bên trong file chứa những nội dung như sau:

# Generated by iptables-save v1.8.4 on Tue Mar  1 19:03:10 2022
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Tue Mar  1 19:03:10 2022

Xóa những nội dung trên và thay thế bằng nội dung dưới đây:

*filter
# Allow all outgoing, but drop incoming and forwarding packets by default
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

# Custom per-protocol chains
:UDP - [0:0]
:TCP - [0:0]
:ICMP - [0:0]

# Acceptable UDP traffic

# Acceptable TCP traffic
-A TCP -p tcp --dport 22 -j ACCEPT

# Acceptable ICMP traffic

# Boilerplate acceptance policy
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT

# Drop invalid packets
-A INPUT -m conntrack --ctstate INVALID -j DROP

# Pass traffic to protocol-specific chains
## Only allow new connections (established and related should already be handled)
## For TCP, additionally only allow new SYN packets since that is the only valid
## method for establishing a new TCP connection
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP
-A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP

# Reject anything that's fallen through to this point
## Try to be protocol-specific w/ rejection message
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable

# Commit the changes
COMMIT

*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

*security
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

Lưu và đóng file. Nếu các bạn đang sử dụng nano, hãy nhấn CTRL + X, sau đó YENTER.

Ngoài ra, bạn có thể kiểm tra lại lỗi cú pháp trong file bằng những lệnh sau để đảm bảo không có bất kì lỗi cú pháp nào:

sudo iptables-restore -t /etc/iptables/rules.v4

Tiếp theo, mở file /etc/iptables/rules.v6 để chỉnh sửa các quy tắc của IPv6:

sudo nano /etc/iptables/rules.v6

Trong file sẽ có những nội dung sau:

# Generated by ip6tables-save v1.8.4 on Tue Mar  1 19:03:10 2022
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Tue Mar  1 19:03:10 2022

Bạn có thể chặn tất cả các lưu lượng IPv6 bằng cách thay thế nội dung trong file bằng cách cấu hình sau đây:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT

*raw
:PREROUTING DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT

*nat
:PREROUTING DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]
COMMIT

*security
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT

*mangle
:PREROUTING DROP [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]
COMMIT

Lưu và đóng file lại, cách đóng tương tự như của rules.v4 nếu sử dụng nano.

Tương tự, bạn cũng cần phải kiểm tra lỗi cú pháp cho file, sử dụng lệnh ip6tables-restore với option -t:

sudo ip6tables-restore -t /etc/iptables/rules.v6

Khi cả hai files đều không có lỗi cú pháp, bạn có thể apply những quy tắc vừa thiết lập bằng lệnh sau:

sudo service netfilter-persistent reload
Output
 * Loading netfilter rules...
run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables start
run-parts: executing /usr/share/netfilter-persistent/plugins.d/25-ip6tables start
                                                                              	[ OK ]

Lệnh trên sẽ ngay lập tức triển khai các chính sách đã được nêu ra trong hai files. Bạn có thể xác minh lại bằng cách liệt kê ra những quy tắc đang được dùng bằng lệnh như sau, đầu tiên là cho IPv4:

sudo iptables -S
Output
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N ICMP
-N TCP
-N UDP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
-A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A TCP -p tcp -m tcp --dport 22 -j ACCEPT

Tiếp theo là IPv6:

sudo ip6tables -S
Output
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP

Những quy tắc này của Firewall sẽ được tự động apply lại mỗi khi khởi động. Hãy thử kiểm tra lại để chắc chắn bạn vẫn có thể đăng nhập nhưng các quyền khác thì đã bị chặn.

Giải thích về chiến lược chung của Firewall

Với những quy tắc đã thiết lập cho Firewall ở phần trước, bạn vừa tạo ra một framework có thể mở rộng linh hoạt và thêm hoặc xóa các quy tắc. Với lưu lượng traffic IPv4, bạn nên quan tâm chủ yếu đến chuỗi INPUT bên trong bảng filter.

Chuỗi này sẽ xử lí tất các gói tin được gửi đến server. Song song với đó, các traffic gửi đi được cho phép và yêu cầu chuyển tiếp gói sẽ bị từ chối. Những thiết lập này sẽ chỉ phù hợp nếu server đóng vai trò là một bộ định tuyến cho các host khác. Các gói tin bên trong bảng khác cũng sẽ được chấp nhận bởi bài viết sẽ hướng dẫn cách lọc chúng.

Về tổng quát, với quy tắc Firewall đã lập sẽ mặc định từ chối các traffic đi vào. Sau đó, bạn sẽ loại trừ ra những dịch vụ và lưu lượng ngoại lệ cho chính sách này.

Trong chuỗi chính INPUT đã thêm vào một quy tắc chung cho các traffic để chúng có thể được xử lí bằng một cách. Ví dụ, các gói tin “không hợp lệ” sẽ bị từ chối, còn các traffic từ local loopback interface và dữ liệu liên quan đến việc thành lập kết nối với server sẽ được cho phép.

Sau đó, các lưu lượng sẽ được khớp dựa trên giao thức đang sử dụng và gắn vào chuỗi giao thức cụ thể (protocol-specific chain) tương ứng. Những chuỗi giao thức này sẽ giúp kết nối với quy tắc phù hợp và cho phép traffic đến từ các dịch vụ cụ thể.

Trong bài hướng dẫn này, dịch vụ duy nhất được cho phép là SSH trong chuỗi TCP. Nếu bạn muốn bổ sung thêm dịch vụ khác, như là HTTP(S) server thì cũng có thể thêm vào đây. Những chuỗi giao thức này sẽ là trọng tâm cần chú ý trong bất cứ tùy chỉnh nào.

Cuối cùng, bất kì lưu lượng nào không phù hợp với những quy tắc chung hoặc quy tắc của dịch vụ trong chuỗi giao thức sẽ được loại bỏ bởi những quy tắc cuối cùng trong chuỗi INPUT. Một chính sách mặc định cho Firewall đã được thiết lập là DROP giúp từ chối tất cả các gói tin trong trường hợp này.

Tuy nhiên, các quy tắc ở cuối của chuỗi INPUT sẽ loại trừ các gói tin và gửi một message về cho Client mô phỏng theo cách server phản hồi nếu không có service nào đang chạy trên port đó.

Đối với các IPv6, bạn đã loại bỏ hết tất cả lưu lượng đó với những thiết lập trên. Do server hiện tại không sử dụng giao thức này, vì vậy tốt hơn hết là không nên làm gì có liên quan đến nó.

Nếu bạn đang sử dụng VPS thì việc dùng iptables có thể đóng góp quan trọng vào việc xây dựng và duy trì ứng dụng trên VPS bằng cách cung cấp một lớp bảo mật mạnh mẽ và kiểm soát lưu lượng mạng đáng tin cậy.

Tuy nhiên, để VPS vận hành ổn định, mượt mà và đạt hiệu quả tối đa thì tốc độ cũng là một yếu tố cần được chú trọng. Hiện tại Vietnix đang cung cấp các gói VPS tốc độ cao, đa dạng cấu hình, tính năng hiện đại, bảo mật cao gồm: VPS NVMe, VPS Giá Rẻ, VPS Cloud Server, VPS Cao Cấp và VPS GPU với nhiều mức giá khác nhau.

Nhanh tay liên hệ Vietnix để được tư vấn gói VPS tốc độ cao phù hợp với nhu cầu ngay hôm nay.

Triển khai Firewall sử dụng lệnh iptables

Đến đây, bạn đã nắm được ý tưởng tổng quát cho chính sách sẽ xây dựng trong bài. Bây giờ bạn sẽ tìm hiểu về cách để tạo ra chính sách đó bằng lệnh iptables. Kết quả cuối cùng sẽ vẫn là chính sách như trên nhưng thay vào đó bạn sẽ tạo lần lượt tuần tự từng quy tắc một. Bởi vì iptables sẽ apply từng quy tắc ngay lập tức, nên thứ tự thiết lập là rất quan trọng.

Khởi động lại Firewall

Bắt đầu bằng việc khởi động lại các quy tắc trong Firewall để bạn có thể xem xét lại cách mà những chính sách được tạo nên từ command line. Hãy làm mới lại các quy tắc bằng lệnh sau:

sudo service netfilter-persistent flush

Kiểm tra lại các quy tắc đã được reset:

sudo iptables -S

Bạn sẽ nhận được output tương tự như dưới đây, cho thấy rằng bảng filter đã không còn và chính sách mặc định dang được để là ACCEPT cho tất cả các chuỗi:

Output
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Tạo các Protocol-Specific Chains

Tiếp theo, bạn cần tạo tất cả các chuỗi giao thức dành riêng cho bạn. Những chuỗi này sẽ được dùng để giữ các quy tắc tạo ngoại lệ cho chính sách từ chối đối với dịch vụ mà bạn muốn loại trừ. Thực hiện tạo giao thức cho traffic UDP:

sudo iptables -N UDP

Một giao thức khác cho TCP:

sudo iptables -N TCP

Và một giao thức cho ICMP:

sudo iptables -N ICMP

Tiếp theo, thêm ngoại lệ cho lưu lượng SSH. SSH sử dụng TCP, vì vậy bạn sẽ thêm quy tắc ACCEPT cho TCP được chạy ở port 22 vào chuỗi TCP:

sudo iptables -A TCP -p tcp --dport 22 -j ACCEPT

Nếu muốn thêm các dịch vụ khác cho TCP, bạn có thể lập lại lệnh trên nhưng hãy thay đổi số port.

Tạo các quy tắc với mục đích chung là chấp thuận hay từ chối

Trong chuỗi INPUT, nơi tất cả các lưu lượng bắt đầu được sàng lọc, bạn sẽ cần thêm vào những quy tắc mục đích chung. Những quy tắc này là cơ sở để Firewall chấp thuận các lưu lượng có độ đe dọa thấp (local traffic và lưu lượng giúp thiết lâp kết nối) và từ chối các lưu lượng không có ích (các gối tin không hợp lệ).

Đầu tiên, tạo một ngoại lệ để chấp thuận tất cả các lưu lượng hỗ trợ việc thiết lập kết nối hoặc có liên quan:

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Quy tắc này sử dụng conntrack extension cung cấp tính năng theo dõi nội bộ giúp iptables có được ngữ cảnh cần thiết để đánh giá các gói tin xem đó có phải là một phần của kết nối lớn hơn thay vì những gói rời rạc, không liên quan.

TCP là một giao thức dựa trên kết nối nên có thể xác định khá rõ ràng và nhanh chóng. Còn đối với UDP và các giao thức không kết nối khác, kết nối được thiết lập được đánh giá trên traffic nhận được phản hồi (nguồn của gói tin ban đầu sẽ là điểm đến của gói tin phản hồi và ngược lại).

Kết nối có liên quan nghĩa là một kết nối mới đã được khởi tạo cùng với một kết nối hiện có. Ví dụ: Kết nối truyền dữ liệu FTP, kết nối này sẽ có sự liên quan tới kết nối điều khiển FTP trước đó đã được thiết lập.

Bên cạnh đó, bạn cũng cần phải cho phép tất cả các traffic bắt nguồn từ local loopback interface. Lưu lượng này được tạo ra bởi server và hướng tới server. Chúng sẽ được sử dụng bởi những dịch vụ trên host để giao tiếp với nhau:

sudo iptables -A INPUT -i lo -j ACCEPT

Cuối cùng, loại bỏ tất cả các gói tin không hợp lệ. Các gói tin có thể bị không hợp lệ do một vài lí do. Chẳng hạn như chúng hướng tới những kết nối chưa được thiết lập, interfaces, địa chỉ, ports không tồn tại, hoặc gói tin bị móp méo về dữ liệu. Trong các trường hợp đó, bạn sẽ loại bỏ gói tin này đi vì không có cách nào để xử lí chúng. Ngược lại, chúng còn có thể chứa các mã độc gây nguy hại đến server.

sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

Tạo Jump Rules cho các chuỗi giao thức cụ thể

Đến đây, bạn đã tạo ra những quy tắc chung cho chuỗi INPUT và một vài quy tắc cho phép dịch vụ được chỉ định truy cập trong các chuỗi giao thức riêng. Tuy nhiên, hiện tại traffic chỉ đến được chuỗi INPUT và không có cách nào để đi đến chuỗi giao thức riêng trên.

Bây giờ, bạn sẽ cần phải điều hướng các lưu lượng ở trong chuỗi INPUT qua các chuỗi giao thức tương ứng. Bạn có thể khớp các loại giao thức và gửi chúng đến chuỗi giao thức đúng. Cần đảm bảo rằng mỗi gói tin đại diện cho một kết nối mới (bất kì kết nối được thiết lập hay có liên quan nào cần phải được xử lí trước đó).

Đầu tiên hãy bắt đầu với traffic UDP:

sudo iptables -A INPUT -p udp -m conntrack --ctstate NEW -j UDP

Tiếp theo, chạy lệnh sau cho lưu lượng TCP. Chú ý rằng với các gói tin TCP, bạn cần phải thêm yêu cầu cho các gói tin phải là SYN. Đây là hợp lệ duy nhất của kết nối TCP:

sudo iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP

Chạy lệnh sau cho traffic ICMP:

sudo iptables -A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP

Từ chối tất cả traffic còn sót lại

Nếu gói tin đã đi qua chuỗi giao thức nhưng không phù hợp với bất kì quy tắc nào trong đó, quyền xử lí sẽ được chuyển ngược về cho chuỗi INPUT. Và bất kì gói tin nào khi đã đến điểm này đều không được cho phép bởi Firewall của người dùng.

Bạn sẽ từ chối các traffic trên bằng REJECT target để gửi phản hồi về cho client. Điều này cho phép bạn chỉ định message trả về mô phỏng theo phản hồi được đưa ra khi client cố gửi các gói tin đến port không tồn tại hoặc bị đóng. Phản hồi sẽ phụ thuộc vào loại giao thức mà client sử dụng.

Trường hợp cố truy cập vào port UDP đã bị đóng sẽ tạo ra ICMP thông báo rằng “port unreachable”. Bạn có thể thực hiện bằng lệnh sau:

sudo iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable

Thiết lập kết nối TCP trên port bị đóng sẽ tạo ra phản hồi RST của TCP:

sudo iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

Đối với tất cả các gói tin khác, bạn có thể gửi thông báo ICMP “protocol unreachable” để chỉ định rằng server không phản hồi cho loại gói tin đó:

sudo iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable

Điều chỉnh các chính sách mặc định

Ba quy tắc cuối cùng bạn đã thêm sẽ xử lí các lưu lượng còn sót lại trong chuỗi INPUT. Tuy nhiên, bạn nên đặt thêm một số chính sách mặc định để DROP chúng:

sudo iptables -P INPUT DROP

Bạn cũng nên đặt chính sách mặc định này trong chuỗi FORWARD nếu như server không được cấu hình làm bộ định tuyến tới các máy khác:

sudo iptables -P FORWARD DROP

Cảnh báo: Với chính sách được đặt là DROP, nếu bạn xóa iptables bằng lệnh sudo iptables -F, kết nối SSH hiện tại cũng sẽ bị xóa theo. Làm mới bằng sudo netfilter-pesistent flush là cách tốt hơn để xóa các quy tắc bởi vì các chính sách mặc định cũng sẽ được làm mới theo.

Để thiết lập cho IPv6 nhằm DROP các lưu lượng, bạn dùng lệnh ip6tables, bắt đầu từ INPUT như sau:

sudo ip6tables -P INPUT DROP

Tiếp đến là FORWARD:

sudo ip6tables -P FORWARD DROP

Cuối cùng là OUTPUT:

sudo ip6tables -P OUTPUT DROP

Điều này sẽ giúp sao chép các quy tắc của bạn một cách chặt chẽ.

Lưu lại các Rules của iptables

Đến đây, bạn nên kiểm tra Firewall của mình để đảm bảo chúng đã hoạt động như mong muốn. Khi đã hoàn tất, bạn có thể lưu chúng lại để có thể được tự động apply khi hệ thống khởi động.

Lưu các quy tắc hiện tại lại bằng lệnh sau (cho cả IPv4 và IPv6):

sudo service netfilter-persistent save

Lệnh trên sẽ ghi đè lên trên file /etc/iptables/rules.v4 và file /etc/iptables/rules.v6 với những chính sách đã thiệt lập trên command line.

Qua 10 năm hoạt động, Vietnix hiện đang là một trong những nhà cung cấp dịch vụ VPS tốc độ cao chất lượng, uy tín hàng đầu Việt Nam. Với sự đầu tư liên tục về hạ tầng và nhân sự để có thể nhanh chóng đáp ứng được các tiêu chuẩn khắt khe của thị trường hosting, VPS,… quốc tế, Vietnix hiện đã được hơn 50.000+ khách hàng trong lẫn ngoài nước tin tưởng trong đó có thể kể đến như: iVIVU.com, GTV, Vietnamwork, UBGroup, KINGFOOD,…

Năm 2022 vừa qua, Vietnix vinh dự nhận được giải thưởng “Thương hiệu Việt Nam xuất sắc 2022”, hạng mục “Sản phẩm dịch vụ xuất sắc”.

Nhanh tay liên hệ Vietnix để được tư vấn chi tiết về dịch vụ VPS tốc độ cao ngay hôm nay!

  • Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh.
  • Hotline: 1800 1093 – 07 088 44444
  • Email: sales@vietnix.com.vn

Lời kết

Hy vọng bài hướng dẫn triển khai tường lửa cơ bản với Iptables trên Ubuntu 20.04 này đã giúp các bạn cấu hình tốt cho Firewall của mình bằng với hai cách là trực tiếp sửa file cấu hình hoặc dùng command line. Để cho phép traffic từ nhiều dịch vụ khác, bạn có thể chỉnh sửa lại các quy tắc đã thiết lập. Cảm ơn các bạn đã theo dõi và hãy luôn ủng hộ Vietnix ở những bài viết tiếp theo nhé.

Chia sẻ lên

Theo dõi trên

Logo Google new

Đánh giá

5/5 - (59 bình chọn)

Hưng Nguyễn

Kết nối với mình qua

Icon Quote

Tôi là Nguyễn Hưng (Bo Vietnix) là Co-Founder tại Vietnix. Tôi đã có hơn 10 năm làm việc trong mảng System, Network, Security đã trải nghiệm và đạt các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS.

Icon Quote
Đăng ký nhận tin
Để không bỏ sót bất kỳ tin tức hoặc chương trình khuyến mãi từ Vietnix

Bình luận

Theo dõi
Thông báo của
guest
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận

Chỉ số tăng trưởng

Điểm Desktop

100 (+39)

Điểm Mobile

100 (+67)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

99 (+28)

Điểm Mobile

100 (+50)

Core Web Vitals

Passed

Lĩnh vực

SEO

Chỉ số tăng trưởng

Điểm Desktop

99 (+26)

Điểm Mobile

98 (+59)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

100 (+8)

Điểm Mobile

98 (+35)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Chỉ số tăng trưởng

Điểm Desktop

100 (+61)

Điểm Mobile

100 (+61)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Võ Thiên Tòng

25 Tháng 2 lúc 21:09

·

Mình muốn gửi lời cảm ơn chân thành đến Team Vietnix, anh Hưng Nguyễn, anh Vietnix Trung, em Quốc Huy đã hỗ trợ tối ưu Page Speed Insight (PSI) cho website vanvoiminhhoa.vn của mình.
Biết đến anh Hưng đã lâu nhưng chưa có duyên sử dụng dịch vụ bên anh. Tình cờ thấy được bài Post của anh về việc hỗ trợ tối ưu PSI miễn phí chỉ với vài Slot, thấy AE cmt khá nhiều nên cũng không nghĩ tới lượt mình. Hôm sau đánh liều inbox 1 phen xem sao thì may mắn được đưa vào danh sách. Vài ngày sau được Team Vietnix liên hệ và hỗ trợ.
Kết quả đạt được:
• Điểm xanh lè xanh lét
• Tốc độ tải trang nhanh hơn hẳn
• Các chỉ số cũng được cải thiện đáng kể
• Và mình tin rằng với việc PSI được cải thiện cũng thúc đẩy những thứ khác đi lên theo!
Mình thực sự hài lòng với dịch vụ của Vietnix và muốn giới thiệu đến tất cả mọi người:
• Dịch vụ Wordpress Hosting: Tốc độ nhanh, ổn định, bảo mật cao, hỗ trợ kỹ thuật 24/7. (https://vietnix.vn/wordpress-hosting/)
• Dịch vụ Business Hosting: Dung lượng lớn, phù hợp cho website có lượng truy cập cao, tích hợp nhiều tính năng cao cấp. (https://vietnix.vn/business-hosting/)
Đặc biệt, Vietnix đang có chương trình ưu đãi:
• Giảm giá 20% trọn đời khi nhập code THIENTONG_PAGESPEED tại trang thanh toán (Chu kỳ 12 tháng trở lên)
• Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website
Cám ơn Vietnix một lần nữa!
#Vietnix #Vanvoiminhhoa #Pagespeedinsight
Trước khi tối ưu
Sau khi tối ưu
Thiện Nguyễn - CEO SEO Dạo

5 Tháng 3 lúc 16:21

·

CORE WEB VITAL YẾU TỐ XẾP HẠNG TÌM KIẾM SEO
Core Web Vitals là một tập hợp các chỉ số đo lường hiệu suất của trang web từ góc độ người dùng, được Google sử dụng để đánh giá trải nghiệm người dùng trên các trang web. Các chỉ số chính bao gồm:
– Largest contentful paint (LCP): Tốc độ render của page. Mục tiêu là dưới 2,5 giây.
– First input delay (FID): Tốc độ phản hồi của website với tương tác của người dùng. Mục tiêu là dưới 100ms.
– Cumulative Layout Shift (CLS): Độ ổn định của bố cục trang. Mục tiêu là dưới 0.1.
Tất cả các chỉ số này đo lường các khía cạnh quan trọng của trải nghiệm người dùng trên trang web. Google đã công bố rằng từ tháng 5 năm 2021, các Core Web Vitals sẽ được sử dụng làm một trong các yếu tố đánh giá trong việc xếp hạng trang web trên kết quả tìm kiếm. Do đó, hiểu và cải thiện các Core Web Vitals là rất quan trọng đối với SEO.
Tóm lại, Core Web Vitals không chỉ giúp cải thiện hiệu suất và xếp hạng trang web trên công cụ tìm kiếm, mà còn cải thiện trải nghiệm của người dùng khi họ truy cập và tương tác với trang website.
P/s: mình đang có gói hỗ trợ đặc biệt cho anh em tối ưu tốc độ bên VIETNIX:
– Giảm 20% lifetime dịch vụ Hosting Business và Hosting Wordpress chu kỳ 12 tháng trở lên.
– Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website.
Anh em có nhu cầu đăng ký qua bạn Vietnix Trung này nhé và nhập mã SEODAO_PAGESPEED để được ưu đãi nhé.😁
Trước khi tối ưu
Sau khi tối ưu SEO Dạo
Icharm review

5 Tháng 3 lúc 15:43

·

[Mình vừa được hỗ trợ tối ưu page speed website]
Trước khi được tối ưu, web của mình điểm rất thấp, đặc biệt là mobile chỉ có 39. Cơ duyên thế nào lúc lướt face lại va phải chương trình tối ưu pagespeed bên Vietnix.
Sau khi được Trần Hoàng Phúc và team Vietnix hỗ trợ nhiệt tình, điểm web vọt lên 98 99 (như hình bên dưới). Dùng thử web thì thấy quá là mượt, 10 điểm cho team Vietnix.
Nói thật thì mình thật sự ấn tượng về sự nhiệt huyết, tận tâm và rất chuyên nghiệp bên Vietnix.
Anh em có nhu cầu về hosting hay có vấn đề về website như:
1. Web load chậm
2. Khách rời web vì đợi tải nội dung, hình ảnh lâu
3. Hay tất tần tật mọi thứ về website
THÌ LIÊN HỆ NGAY VIETNIX NHÉ!
Và đừng quên dùng pass “ICHARM_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting. Quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
Trước khi tối ưu
Sau khi tối ưu
Hoàng Nguyễn

29 Tháng 2 lúc 17:04

·

Xin chào mọi người! Vừa rồi mình có sử dụng dịch vụ tối ưu website, tăng tốc độ tải trang pagespeed của Vietnix kết quả trên cả tuyệt vời nên mình viết bài này để chia sẻ thông tin với các bạn.
Lý do mình chọn dịch vụ tối ưu tốc độ website của Vietnix:
✅ Đội ngũ chuyên gia giàu kinh nghiệm: Đã tối ưu thành công cho hàng nghìn website trong nhiều lĩnh vực khác nhau. Các bạn nhân viên rất thân thiện, nhiệt tình và chủ động trong quá trình làm việc để cập nhật tiến độ.
✅ Quy trình chuyên nghiệp:
– Kiểm tra và phân tích: Vietnix sử dụng các công cụ tiên tiến để kiểm tra và phân tích tốc độ website của bạn.
– Xác định nguyên nhân: Vietnix xác định nguyên nhân khiến website tải chậm và đưa ra giải pháp tối ưu phù hợp.
– Tối ưu hóa website: Vietnix áp dụng các kỹ thuật tối ưu tiên tiến nhất để tăng tốc độ tải trang.
– Báo cáo kết quả: Vietnix cung cấp báo cáo chi tiết về kết quả tối ưu hóa website.
Công nghệ tiên tiến: Vietnix sử dụng các công nghệ tối ưu mới nhất như LiteSpeed, LSCache, Memcached, Redis, v.v.
✅ Cam kết kết quả: Vietnix cam kết tăng tốc độ website của bạn lên tối thiểu 90%.
✅ Giá cả cạnh tranh: Vietnix cung cấp dịch vụ tối ưu tốc độ website với mức giá cạnh tranh nhất trên thị trường.
📣 Để đăng ký sử dụng dịch vụ tối ưu tốc độ website và các dịch vụ khác như hosting, vps, domain… các bạn có thể đăng ký tại https://portal.vietnix.vn/aff.php?aff=57 hoặc Inbox cho sếp Vietnix Trung nhé.
Các bạn có thể kiểm tra tốc độ trang của mình https://lasan.edu.vn hoặc một vài trang khác đã sử dụng dịch vụ của Vietnix như sau:
https://pagespeed.web.dev/…/https…/v8beqewyt2…
https://pagespeed.web.dev/…/https…/etiohjvtl4…
https://pagespeed.web.dev/…/https…/yczuqpw6d1…
https://pagespeed.web.dev/…/https…/xf9y65kuzk…
https://pagespeed.web.dev/…/https…/fdrsms15en…
https://pagespeed.web.dev/…/https…/s7p9cgzeri…
Trước khi tối ưu
Sau khi tối ưu
Dũng cá xinh

30 Tháng 1 lúc 19:09

·

[Đỉnh]
Em có dùng hosting, vps, cloud vps, cloud server, dedicated server của rất nhiều bên từ trong nước đến nước ngoài để hosting khoảng 2,000+ domain. Mỗi bên đều có ưu nhược khác nhau, nhưng có 1 số bên đặc biệt “bá đạo”, trong đó có: Vietnix!!!!

Lần đầu tiên em được cả CEO Hưng Nguyễn lẫn Master về dev Vietnix Trung của 1 đơn vị hàng đầu liên quan đến Hosting, Server support từ A – Z (từ Zalo, Tele, đến FB và cả Phone)

Em có khá nhiều web dạng Big Data (bài, ảnh, database, data) lên đến hàng trăm Gb. Càng to thì nó càng có nhiều vấn đề về phần phản hồi ban đầu (nhược điểm cố hữu của php wordpress so với nativejs, reactjs, html, headless,…), và anh em Vietnix có nhã ý hỗ trợ xử lý phần Speed Insight này.

Kết quả thực sự kinh ngạc, từ cách trao đổi đến xử lý vấn đề, cut off những cái cần cut off, xử lý rất sâu vấn đề và gợi ý rất nhiều ý tưởng optimize hệ thống!!!! Thực sự quá hài lòng về kết quả cũng như cách tương tác của các đầu tầu bên Vietnix ^^!!!

Nhân cơ duyên được kết nối với những cao thủ của Vietnix, em xin chia sẻ và lan tỏa để nhiều anh em có cơ hội được sử dụng những dịch vụ tốt nhất với giá vô cùng hợp lý!!!!

1 – Với anh em chưa có hosting, em đặc biệt recommend sử dụng hosting bên Vietnix:
– Sử dụng mã DUNGCAXINH_PAGESPEED sẽ được giảm 20% trọn đời (lifetime luôn)
– Áp dụng các gói Hosting Business, Hosting wordpress và reg 1 năm trở lên
– Anh em chưa biết cách reg thì còm men hoặc ib để em hướng dẫn hoặc nhờ các bạn bên Vietnix support từ A – Z

2 – Anh em có hosting rồi và muốn build blog hoặc web = wordpress mà chưa có giao diện thì nhân tiện em đang có tài khoản Premium bên Envato, em sẽ tặng bất kỳ giao diện nào có trên Envato Themes (Link em để dưới còm men) ạ. Cả nhà còm hoặc ib em Themes mà mọi người “chim ưng”, em sẽ cho anh em tải về, up drive và gửi ạ!!! (Chương trình này kéo dài đến ngày 29 tết âm lịch ạ)

3 – BEST NHẤT luôn!!!! Anh em nào mua hosting dùng mã DUNGCAXINH_PAGESPEED sẽ được tối ưu 100 điểm tốc độ cho 1 web (đây là ưu đãi riêng của CEO Hưng Nguyễn dành cho bạn bè của #dungcaxinh ^^) (Giá trị nhất là cái vụ số 3 này anh chị em nhé ^^), cơ hội vàng để move về đơn vị hosting uy tín là đây ^^!!!!

Một lần nữa xin chân thành cám ơn 2 đồng chí em: Hưng Nguyễn và Vietnix Trung đã giải được một bài toán khó cho các trang WP Big data mà anh loay hoay bao lâu nay chưa tìm ra đáp án!!! Chúc Vietnix ngày càng phát triển và có một năm 2024 đại đại thắng nhé ^^ !!!!!
#SEO #Vietnix #dungcaxinh

Trước khi tối ưu
Sau khi tối ưu
Hiếu AI

2 Tháng 2 lúc 21:06

·

UY TÍN – TẬN TÂM – TỐC ĐỘ

3 từ trên là vẫn chưa đủ để nói về quy trình làm việc cực chuyên nghiệp của team Vietnix.Chuyện là mình có con website chính đang có lượt truy cập organic hàng ngày cũng tương đối (hình 1)

Vấn đề là, con site này đang nằm trên hosting dùng chung nên tốc độ load chưa nhanh, tốc độ load chưa nhanh thì trải nghiệm visitor chưa tốt, trải nghiệm visitor chưa tốt thì tỷ lệ chuyển đổi ra đơn hàng kiểu gì thì kiểu cũng sẽ bị ảnh hưởng.

Biết rõ là đang mất tiền nhưng không biết xử lý như lào, nghĩ mà cay.

Đang loay hoay thì vận may nó tới, hôm qua đang lướt phở bò thấy a Nguyễn Việt Dũng đăng bài, rảnh nên thả cái comment hóng hớt, ai ngờ ngoằng phát thấy ông Dũng tạo nhóm với Vietnix Trung luôn.

Ae Vietnix thì siêu tốc độ, lập tức lấy thông tin vào việc, không hỏi han lằng nhằng, không kỳ kèo chốt đơn dù lúc đấy cũng đang đêm muộn.
Sáng hôm sau dậy vẫn còn đang lơ ngơ mở điện thoại check tin nhắn thì đã thấy ae Vietnix báo xong việc, trong khi mình vẫn chưa biết có chuyện gì xảy ra @@.

Được cái bấm thử website thì thấy load siêu nhanh, chưa tới một giây là thông tin các thứ hiện hết. Quá phê, thả con ảnh trước sau (hình 2,3) để ace tiện đối chiếu nhé. Thế này thì mình gửi gắm nốt 15 em website còn lại cho team Vietnix thôi chứ không cần nghĩ ngợi gì nữa. 10/10.

Nên là:

  1. Anh chị em muốn có một con website tốc độ load nhanh như tốc độ trở mặt của nyc – Dùng ngay dịch vụ hosting của Vietnix
  2. Anh chị em có website rồi muốn tìm bên hosting uy tín, chuyên nghiệp hỗ trợ không quản ngày đêm – Liên hệ ngay Vietnix Trung
  3. Anh chị em quan tâm đến trải nghiệm khách hàng, từ những cái nhỏ nhất như tăng tốc độ website – Better call Vietnix Trung

Và đừng quên dùng pass “HIEUAI_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting, quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
#SEO #Vietnix #hieuai

Website
Trước khi tối ưu
Sau khi tối ưu

Chỉ số tăng trưởng

Điểm Desktop

100 (+43)

Điểm Mobile

100 (+74)

Core Web Vitals

Passed

Lĩnh vực

AI