Posted inNetwork

Thiết lập Linux Router cơ bản: Hướng dẫn cấu hình NAT và chuyển tiếp gói tin

Network tutorial - IT technology blog
Network tutorial - IT technology blog

Giới thiệu về Linux Router

Trong lĩnh vực công nghệ thông tin, dù là văn phòng nhỏ hay hệ thống mạng lớn, việc kết nối và quản lý dữ liệu hiệu quả luôn là ưu tiên hàng đầu. Bạn có bao giờ thắc mắc làm thế nào máy tính trong mạng nội bộ truy cập Internet, hay làm sao dịch vụ của bạn có thể được truy cập từ bên ngoài? Tất cả nhờ có router.

Thông thường, chúng ta đã quen với các thiết bị router thương mại có giao diện web thân thiện. Tuy nhiên, việc biến một máy chủ Linux thành router mang lại sự linh hoạt và khả năng kiểm soát vượt trội mà một thiết bị ‘hộp’ thông thường khó bì kịp. Với Linux, bạn có thể tinh chỉnh mọi chi tiết, từ cách xử lý gói tin đến việc triển khai các chính sách bảo mật phức tạp.

Khi Linux đảm nhận vai trò router, hai chức năng cốt lõi cần hiểu rõ là Network Address Translation (NAT)Packet Forwarding (chuyển tiếp gói tin). Packet Forwarding giúp các gói tin di chuyển giữa các mạng khác nhau. Trong khi đó, NAT cho phép nhiều thiết bị chia sẻ một địa chỉ IP công cộng duy nhất, đồng thời ‘ẩn mình’ khỏi thế giới bên ngoài. Đây là những nền tảng biến một máy chủ Linux thông thường thành trung tâm điều khiển mạng mạnh mẽ.

Tôi nhớ có lần, tôi từng ‘đau đầu’ với một sự cố mạng khá khó nhằn. Tình trạng mất gói tin (intermittent packet loss) chỉ xảy ra vào những giờ cao điểm, cực kỳ khó debug vì nó không liên tục và chỉ ‘trêu ngươi’ khi mạng quá tải.

Lúc đó, tôi ước gì mình có thể ‘nhìn xuyên’ vào từng gói tin trên router, kiểm soát chính xác đường đi của chúng để tìm ra gốc rễ vấn đề. Đó chính là lúc tôi nhận ra sức mạnh thật sự của một Linux router tự cấu hình – nó cho tôi sự minh bạch và quyền năng để giải quyết những bài toán mạng hóc búa nhất. Đây chính là lý do tôi muốn chia sẻ với bạn cách tận dụng Linux để xây dựng một router cơ bản nhưng cực kỳ hiệu quả.

Khái niệm cốt lõi

Router là gì?

Hiểu một cách đơn giản, router là thiết bị kết nối và định tuyến gói tin dữ liệu giữa hai hoặc nhiều mạng máy tính khác nhau. Bạn có thể hình dung nó như người điều phối giao thông tại một ngã tư lớn, đảm bảo các phương tiện (gói tin) từ đường này đi đúng hướng sang đường khác một cách hiệu quả.

Với máy tính Linux làm router, bạn cần ít nhất hai card mạng (network interface). Một card kết nối ra mạng Internet (WAN), và card còn lại kết nối vào mạng nội bộ (LAN). Nhiệm vụ chính của nó là nhận gói tin từ mạng này và gửi sang mạng kia, dựa trên địa chỉ đích của gói tin.

Chuyển tiếp gói tin (Packet Forwarding)

Mặc định, vì lý do bảo mật, hầu hết các hệ điều hành Linux sẽ không tự động chuyển tiếp gói tin giữa các interface mạng khác nhau trên cùng một máy. Ví dụ, nếu một gói tin đến từ eth1 (mạng LAN) và có địa chỉ đích ở ngoài Internet (qua eth0), Linux sẽ không tự động chuyển nó đi. Tính năng này cần được bật tường minh.

Khi Packet Forwarding được kích hoạt, máy Linux của chúng ta mới thực sự hoạt động như một router. Nó sẽ kiểm tra địa chỉ đích của các gói tin không dành cho chính nó và quyết định gửi chúng ra interface nào để đến được đích.

Network Address Translation (NAT)

NAT là một kỹ thuật cực kỳ quan trọng, đặc biệt khi địa chỉ IPv4 đang dần cạn kiệt. Chức năng chính của NAT là ‘dịch’ địa chỉ IP. Tại sao chúng ta cần nó?

  • Tiết kiệm địa chỉ IP công cộng: Hầu hết các nhà cung cấp dịch vụ Internet (ISP) chỉ cấp cho bạn một vài địa chỉ IP công cộng. NAT cho phép hàng trăm, thậm chí hàng ngàn thiết bị trong mạng nội bộ (ví dụ: các địa chỉ IP riêng tư như 192.168.x.x) chia sẻ chung một địa chỉ IP công cộng duy nhất để truy cập Internet.
  • Bảo mật: Mạng nội bộ của bạn được ‘ẩn’ sau địa chỉ IP công cộng của router. Từ bên ngoài, các thiết bị trong mạng LAN gần như ‘vô hình’, tạo thêm một lớp bảo mật đầu tiên.

Chúng ta sẽ tập trung vào hai loại NAT chính sau:

  • Source NAT (SNAT) / Masquerading: Khi một thiết bị trong mạng LAN gửi gói tin ra Internet, router sẽ thay đổi địa chỉ IP nguồn của gói tin từ địa chỉ IP riêng tư của thiết bị LAN thành địa chỉ IP công cộng của router. Khi gói tin phản hồi trở lại, router sẽ ‘dịch ngược’ địa chỉ IP đích về lại thiết bị LAN ban đầu. MASQUERADE là một dạng đặc biệt của SNAT, thường được dùng khi địa chỉ IP công cộng của router là động (thay đổi).

    Ví dụ: Máy tính của bạn (192.168.10.100) gửi yêu cầu đến google.com. Router Linux (IP công cộng 203.0.113.5) sẽ đổi IP nguồn của gói tin thành 203.0.113.5 trước khi gửi ra ngoài. Google phản hồi về 203.0.113.5, và router biết rằng gói tin đó thuộc về 192.168.10.100 nên sẽ chuyển tiếp vào trong.

  • Destination NAT (DNAT) / Port Forwarding: Ngược lại với SNAT, DNAT được sử dụng khi bạn muốn cho phép các thiết bị từ bên ngoài Internet truy cập một dịch vụ cụ thể trên một máy chủ bên trong mạng LAN của bạn. Router sẽ thay đổi địa chỉ IP đích và có thể cả cổng đích của gói tin từ bên ngoài thành địa chỉ và cổng của máy chủ nội bộ.

    Ví dụ: Bạn có một máy chủ web trong mạng LAN (192.168.10.100) đang chạy dịch vụ ở cổng 80. Bạn muốn người dùng từ Internet truy cập dịch vụ này qua IP công cộng của router (203.0.113.5). Router sẽ dịch các gói tin đến cổng 80 của 203.0.113.5 thành 192.168.10.100:80 và chuyển tiếp vào trong.

Thực hành chi tiết: Cấu hình Linux Router

Để thực hành, bạn sẽ cần một máy chủ Linux (tôi dùng Ubuntu Server) với ít nhất hai card mạng. Hãy đặt tên cho chúng là eth0 (kết nối ra Internet/WAN) và eth1 (kết nối vào mạng LAN nội bộ).

1. Chuẩn bị môi trường

  • Máy Linux Router:
    • eth0: Có thể nhận IP động (DHCP) từ ISP hoặc có IP tĩnh (ví dụ: 192.168.1.100 nếu trong mạng lab, hoặc IP công cộng).
    • eth1: IP tĩnh cho mạng nội bộ, ví dụ 192.168.10.1/24. Đây sẽ là Default Gateway cho các máy trong mạng LAN.
  • Máy Client trong LAN:
    • IP tĩnh hoặc DHCP trong dải 192.168.10.0/24, ví dụ 192.168.10.100.
    • Default Gateway trỏ về 192.168.10.1 (IP của eth1 trên router).
    • DNS: có thể là 8.8.8.8 hoặc 1.1.1.1.

Đầu tiên, hãy kiểm tra các interface mạng của bạn bằng lệnh ip a:


ip a

Nếu bạn đang dùng Ubuntu Server và các interface có tên dạng enp0s3, enp0s8, bạn có thể đổi tên chúng để dễ quản lý, hoặc giữ nguyên tên mặc định. Trong hướng dẫn này, tôi sẽ giả định là eth0eth1.

Cấu hình địa chỉ IP tĩnh cho eth1 (interface nội bộ) sử dụng Netplan trên Ubuntu. Tạo hoặc chỉnh sửa file cấu hình Netplan, ví dụ /etc/netplan/01-netcfg.yaml (lưu ý: tùy thuộc vào bản phân phối, bạn có thể dùng /etc/network/interfaces hoặc nmcli):


network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: true  # Hoặc cấu hình IP tĩnh nếu bạn có IP công cộng
    eth1:
      dhcp4: false
      addresses: [192.168.10.1/24]

Sau khi chỉnh sửa, áp dụng cấu hình:


sudo netplan apply

2. Bật chức năng chuyển tiếp gói tin (Packet Forwarding)

Để Linux hoạt động như một router, chúng ta cần bật tính năng chuyển tiếp gói tin. Thực thi lệnh sau trong terminal:


sudo sysctl -w net.ipv4.ip_forward=1

Lệnh trên chỉ có tác dụng tạm thời. Để cài đặt này được duy trì sau khi khởi động lại hệ thống, bạn cần thêm nó vào file cấu hình /etc/sysctl.conf:


echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p # Áp dụng các thay đổi từ file sysctl.conf

3. Cấu hình NAT (Masquerading) với Iptables

Bây giờ, chúng ta sẽ cấu hình NAT để các máy trong mạng LAN có thể truy cập Internet bằng cách ‘mượn’ địa chỉ IP công cộng của router. Chúng ta sẽ dùng iptables, một công cụ quản lý firewall mạnh mẽ trên Linux.

Lệnh sau sẽ thêm một quy tắc vào bảng nat, chuỗi POSTROUTING. Quy tắc này sẽ thay đổi địa chỉ IP nguồn (SNAT) của các gói tin đi ra qua interface eth0 thành địa chỉ IP của eth0:


sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  • -t nat: Chỉ định làm việc trên bảng nat (Network Address Translation).
  • -A POSTROUTING: Thêm quy tắc vào cuối chuỗi POSTROUTING. Chuỗi này được xử lý sau khi gói tin đã được định tuyến.
  • -o eth0: Áp dụng quy tắc cho các gói tin đi ra (output) qua interface eth0.
  • -j MASQUERADE: ‘Nhảy’ đến mục tiêu MASQUERADE, tức là thay đổi IP nguồn của gói tin thành IP của interface đi ra (eth0).

4. Cấu hình DNAT (Port Forwarding) với Iptables

Nếu bạn có một máy chủ web (hoặc bất kỳ dịch vụ nào) trong mạng LAN (ví dụ: 192.168.10.100) mà bạn muốn cho phép truy cập từ Internet, bạn cần cấu hình DNAT. Giả sử chúng ta muốn chuyển tiếp cổng 80 (HTTP) từ IP công cộng của router đến máy chủ web nội bộ:


sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.100:80
  • -A PREROUTING: Thêm quy tắc vào cuối chuỗi PREROUTING. Chuỗi này được xử lý ngay khi gói tin đến interface.
  • -i eth0: Áp dụng quy tắc cho các gói tin đến (input) qua interface eth0.
  • -p tcp --dport 80: Áp dụng cho các gói tin giao thức TCP đến cổng đích 80.
  • -j DNAT --to-destination 192.168.10.100:80: ‘Nhảy’ đến mục tiêu DNAT và thay đổi địa chỉ đích của gói tin thành 192.168.10.100 và cổng 80.

5. Cấu hình tường lửa cơ bản cho Router

Sau khi cấu hình NAT và Forwarding, việc bảo vệ router và mạng nội bộ là rất quan trọng. Bạn cần thiết lập các quy tắc tường lửa để chỉ cho phép lưu lượng hợp lệ đi qua.

Chuỗi FORWARD trong iptables kiểm soát các gói tin đi qua router (từ một interface đến một interface khác).


# Cho phép các kết nối đã thiết lập và liên quan đi qua router
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# Cho phép các máy trong mạng LAN (qua eth1) truy cập ra Internet (qua eth0)
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Nếu có DNAT (port forwarding), cần cho phép lưu lượng đó đi vào máy chủ nội bộ.
# Ví dụ: cho phép truy cập cổng 80 trên 192.168.10.100 từ eth0 vào eth1
sudo iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -d 192.168.10.100 -j ACCEPT

# Thiết lập chính sách mặc định cho chuỗi FORWARD là DROP (từ chối tất cả nếu không có quy tắc nào khớp)
sudo iptables -P FORWARD DROP

# Ngoài ra, bạn cũng nên cấu hình tường lửa cho chính router (chuỗi INPUT)
# Cho phép SSH vào router từ bất kỳ đâu (hoặc giới hạn IP nếu cần)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Cho phép các gói tin đã được router khởi tạo (ví dụ: router ping ra ngoài)
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Cho phép lưu lượng truy cập từ mạng LAN vào chính router (ví dụ: để quản lý)
sudo iptables -A INPUT -i eth1 -j ACCEPT

# Thiết lập chính sách mặc định cho chuỗi INPUT là DROP
sudo iptables -P INPUT DROP

# Thiết lập chính sách mặc định cho chuỗi OUTPUT là ACCEPT (router có thể gửi gói tin ra ngoài)
sudo iptables -P OUTPUT ACCEPT

Lưu ý quan trọng: Việc thiết lập chính sách mặc định DROP cho FORWARDINPUT rất quan trọng để đảm bảo an toàn. Tuy nhiên, bạn cần chắc chắn đã thêm tất cả các quy tắc ACCEPT cần thiết trước đó, nếu không, bạn có thể bị khóa quyền truy cập vào router hoặc mạng của mình.

6. Lưu các quy tắc Iptables

Các quy tắc iptables bạn vừa tạo chỉ có hiệu lực cho đến khi khởi động lại hệ thống. Để chúng tự động tải lại, bạn cần lưu chúng. Một cách phổ biến trên Debian/Ubuntu là sử dụng gói iptables-persistent:


sudo apt update
sudo apt install iptables-persistent

Trong quá trình cài đặt, hệ thống sẽ hỏi bạn có muốn lưu các quy tắc hiện tại không, hãy chọn Yes. Hoặc bạn có thể lưu thủ công bất cứ lúc nào bằng lệnh:


sudo netfilter-persistent save

Để nạp lại các quy tắc đã lưu, dùng lệnh:


sudo netfilter-persistent reload

7. Kiểm tra cấu hình

Sau khi hoàn tất cấu hình, hãy kiểm tra xem router của bạn có hoạt động đúng như mong đợi không:

  • Từ máy client trong mạng LAN (192.168.10.100): 
    
ping 8.8.8.8         # Kiểm tra kết nối ra Internet bằng IP
ping google.com      # Kiểm tra kết nối ra Internet bằng tên miền (cần DNS hoạt động)
traceroute google.com # Kiểm tra đường đi của gói tin, bạn sẽ thấy nó đi qua 192.168.10.1 trước
  • Từ bên ngoài Internet (nếu bạn có IP công cộng và đã cấu hình DNAT):

    Thử truy cập vào dịch vụ trên máy chủ nội bộ của bạn (ví dụ: mở trình duyệt và truy cập http://[IP_công_cộng_của_router]).

  • Trên máy Linux Router: 
    
sudo iptables -t nat -L -v -n # Xem các quy tắc NAT
sudo iptables -L -v -n        # Xem các quy tắc FILTER (FORWARD, INPUT, OUTPUT)

    Kiểm tra cột packetsbytes để xem các quy tắc có đang được sử dụng không.

Kết luận

Bằng cách biến một máy Linux thành router, bạn không chỉ tiết kiệm chi phí mà còn có được một hệ thống quản lý mạng cực kỳ mạnh mẽ và linh hoạt. Chúng ta đã cùng nhau tìm hiểu và cấu hình Packet Forwarding để cho phép gói tin di chuyển giữa các mạng, cùng với NAT (Masquerading cho truy cập Internet, Port Forwarding cho truy cập dịch vụ nội bộ) nhằm bảo mật và tối ưu hóa việc sử dụng địa chỉ IP.

Đây chỉ là những bước cơ bản để thiết lập một Linux router. Từ nền tảng này, bạn có thể mở rộng với các tính năng nâng cao hơn như DHCP server, DNS caching, VPN server, hay thậm chí là một hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS). Sức mạnh thực sự của Linux nằm ở khả năng tùy biến vô hạn, cho phép bạn xây dựng một giải pháp mạng phù hợp nhất với nhu cầu cụ thể của mình.

Hãy nhớ rằng, sự hiểu biết về từng lớp trong mô hình mạng và cách các gói tin di chuyển sẽ là chìa khóa để bạn làm chủ mọi vấn đề mạng, từ những sự cố đơn giản đến những ‘cơn ác mộng’ intermittent packet loss mà tôi từng trải qua. Chúc bạn thành công!

Share:
Tags: