npm - @xdev-asia/xdev-knowledge-mcp - Versions diffs - 1.0.53 → 1.0.55 - Mend

@xdev-asia/xdev-knowledge-mcp 1.0.53 → 1.0.55

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (20) hide show

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/02-bai-2-cau-hinh-interface-va-ip-co-ban.md ADDED Viewed

@@ -0,0 +1,324 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e30df834552
+title: 'Bài 2: Cấu hình Interface và IP cơ bản'
+slug: bai-2-cau-hinh-interface-va-ip-co-ban
+description: >-
+  Hướng dẫn cấu hình interfaces ethernet, IP tĩnh, DHCP client, quản lý users,
+  hostname, timezone, NTP, DNS và backup/restore config trên VyOS.
+duration_minutes: 120
+is_free: true
+video_url: null
+sort_order: 2
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<h2>Cấu hình Ethernet Interfaces</h2>
+<p>Trong VyOS, mỗi interface vật lý hoặc ảo được quản lý qua configuration tree tại node <code>interfaces</code>. Ethernet interface thường có tên <code>eth0</code>, <code>eth1</code>,... tương ứng với thứ tự NIC được kernel detect.</p>
+<h3>Gán IP tĩnh cho interface</h3>
+<pre><code class="language-bash">configure
+# Gán IP cho eth0 (WAN)
+set interfaces ethernet eth0 address 203.0.113.10/24
+set interfaces ethernet eth0 description 'WAN - Internet'
+# Gán IP cho eth1 (LAN)
+set interfaces ethernet eth1 address 192.168.1.1/24
+set interfaces ethernet eth1 description 'LAN - Internal'
+# Xem thay đổi trước khi commit
+compare
+commit
+save</code></pre>
+<p>Một interface có thể có <strong>nhiều địa chỉ IP</strong> (secondary addresses):</p>
+<pre><code class="language-bash">set interfaces ethernet eth1 address 192.168.1.1/24
+set interfaces ethernet eth1 address 10.0.0.1/24</code></pre>
+<h3>Cấu hình DHCP Client</h3>
+<p>Khi interface WAN nhận IP từ ISP qua DHCP:</p>
+<pre><code class="language-bash">set interfaces ethernet eth0 address dhcp
+# Xem IP được cấp
+show interfaces ethernet eth0</code></pre>
+<h3>Disable/Enable Interface</h3>
+<pre><code class="language-bash"># Disable interface
+set interfaces ethernet eth2 disable
+# Enable lại (xóa disable flag)
+delete interfaces ethernet eth2 disable
+commit</code></pre>
+<h3>Xem trạng thái interfaces</h3>
+<pre><code class="language-bash"># Operational mode
+show interfaces
+# Output mẫu:
+# Codes: S - State, L - Link, u - Up, D - Down
+# Interface    IP Address       S/L  Description
+# ---------    ----------       ---  -----------
+# eth0         203.0.113.10/24  u/u  WAN - Internet
+# eth1         192.168.1.1/24   u/u  LAN - Internal
+# lo           127.0.0.1/8      u/u
+# Xem chi tiết một interface
+show interfaces ethernet eth0 brief</code></pre>
+<h2>Quản lý Users và Authentication</h2>
+<h3>Tạo user mới</h3>
+<pre><code class="language-bash">configure
+# Tạo user admin với plaintext password (VyOS sẽ tự hash)
+set system login user admin authentication plaintext-password 'MyStr0ngP@ss!'
+set system login user admin level admin
+# Hoặc dùng encrypted password (đã hash sẵn)
+# Tạo hash: openssl passwd -6 'MyStr0ngP@ss!'
+set system login user admin authentication encrypted-password '$6$rounds=...'
+commit
+save</code></pre>
+<blockquote>
+  <p><strong>Bảo mật</strong>: Sau khi commit, VyOS tự động chuyển plaintext-password thành encrypted-password trong config. Plaintext password không được lưu trữ.</p>
+</blockquote>
+<h3>Cấu hình SSH Key Authentication</h3>
+<pre><code class="language-bash"># Thêm SSH public key cho user admin
+set system login user admin authentication public-keys mykey@workstation type ssh-rsa
+set system login user admin authentication public-keys mykey@workstation key 'AAAAB3NzaC1yc2EAAAA...'
+commit
+save</code></pre>
+<h3>Xóa user</h3>
+<pre><code class="language-bash">delete system login user old-admin
+commit
+save</code></pre>
+<h2>Cấu hình System cơ bản</h2>
+<h3>Hostname</h3>
+<pre><code class="language-bash">configure
+set system host-name vyos-gw01
+set system domain-name lab.local
+commit
+save</code></pre>
+<h3>Timezone</h3>
+<pre><code class="language-bash"># Xem danh sách timezone
+# Nhấn Tab sau 'set system time-zone'
+set system time-zone Asia/Ho_Chi_Minh
+commit
+save</code></pre>
+<h3>NTP — Đồng bộ thời gian</h3>
+<pre><code class="language-bash"># Cấu hình NTP servers
+set service ntp server pool.ntp.org
+set service ntp server time.google.com
+# Hoặc cấu hình chi tiết
+set service ntp server 0.pool.ntp.org prefer
+set service ntp server 1.pool.ntp.org
+# Xem trạng thái NTP
+show ntp
+commit
+save</code></pre>
+<h3>System DNS (Name Server)</h3>
+<p>Cấu hình DNS servers mà VyOS sẽ sử dụng để resolve tên miền:</p>
+<pre><code class="language-bash"># DNS cho chính router
+set system name-server 8.8.8.8
+set system name-server 1.1.1.1
+commit
+save
+# Kiểm tra
+ping google.com</code></pre>
+<h2>Bật SSH Service</h2>
+<pre><code class="language-bash">configure
+# Bật SSH trên port mặc định 22
+set service ssh port 22
+# Hoặc đổi port cho bảo mật
+set service ssh port 2222
+# Disable password login (chỉ cho key-based)
+set service ssh disable-password-authentication
+# Giới hạn SSH chỉ listen trên LAN interface
+set service ssh listen-address 192.168.1.1
+commit
+save</code></pre>
+<h2>Default Gateway và Static Routes</h2>
+<pre><code class="language-bash">configure
+# Đặt default gateway (cho WAN IP tĩnh)
+set protocols static route 0.0.0.0/0 next-hop 203.0.113.1
+# Thêm static route cho mạng khác
+set protocols static route 10.10.0.0/16 next-hop 192.168.1.254
+# Xem routing table
+show ip route
+commit
+save</code></pre>
+<h2>Backup và Restore Config</h2>
+<h3>Save / Load config</h3>
+<pre><code class="language-bash"># Save config hiện tại (mặc định lưu vào /config/config.boot)
+save
+# Save ra file cụ thể
+save /config/backup-2026-04-07.config
+# Load config từ file
+load /config/backup-2026-04-07.config
+# Xem thay đổi
+compare
+# Nếu OK thì commit
+commit
+save</code></pre>
+<h3>Save config ra remote server</h3>
+<pre><code class="language-bash"># Save qua SCP
+save scp://user@backup-server/path/to/vyos-backup.config
+# Save qua TFTP
+save tftp://tftp-server/vyos-backup.config
+# Save qua FTP
+save ftp://user:password@ftp-server/vyos-backup.config</code></pre>
+<h3>Rollback config</h3>
+<p>VyOS lưu lịch sử các lần commit. Bạn có thể rollback:</p>
+<pre><code class="language-bash"># Xem lịch sử commit
+show system commit
+# Rollback về revision trước
+rollback 1
+compare
+commit
+save</code></pre>
+<h2>Lab thực hành: Setup Router 2 Interfaces WAN + LAN</h2>
+<p>Topology:</p>
+<pre><code class="language-bash">Internet --- [eth0 WAN: DHCP] VyOS Router [eth1 LAN: 192.168.100.1/24] --- LAN Clients</code></pre>
+<h3>Bước 1: Cấu hình interfaces</h3>
+<pre><code class="language-bash">configure
+# WAN - nhận IP từ ISP
+set interfaces ethernet eth0 description 'WAN'
+set interfaces ethernet eth0 address dhcp
+# LAN - IP tĩnh
+set interfaces ethernet eth1 description 'LAN'
+set interfaces ethernet eth1 address 192.168.100.1/24
+commit</code></pre>
+<h3>Bước 2: Cấu hình system</h3>
+<pre><code class="language-bash"># Hostname
+set system host-name vyos-home
+# DNS
+set system name-server 8.8.8.8
+set system name-server 1.1.1.1
+# Timezone
+set system time-zone Asia/Ho_Chi_Minh
+# NTP
+set service ntp server pool.ntp.org
+# SSH
+set service ssh port 22
+commit</code></pre>
+<h3>Bước 3: Tạo user admin riêng</h3>
+<pre><code class="language-bash"># Tạo admin user
+set system login user admin authentication plaintext-password 'SecureP@ss2026!'
+set system login user admin level admin
+# Xóa default password của user vyos (đổi password)
+set system login user vyos authentication plaintext-password 'NewVyOSP@ss!'
+commit
+save</code></pre>
+<h3>Bước 4: Kiểm tra</h3>
+<pre><code class="language-bash">exit
+# Kiểm tra interfaces
+show interfaces
+# Kiểm tra DNS resolution
+ping google.com
+# Kiểm tra NTP
+show ntp
+# Kiểm tra config đã save
+show configuration</code></pre>
+<h2>Tổng kết</h2>
+<p>Trong bài này, bạn đã học được:</p>
+<ul>
+  <li>Cách cấu hình ethernet interfaces: IP tĩnh, DHCP client, multiple addresses</li>
+  <li>Quản lý users: tạo, xóa, đặt password, thêm SSH keys</li>
+  <li>Thiết lập system basics: hostname, timezone, NTP, DNS</li>
+  <li>Bật và bảo mật SSH service</li>
+  <li>Cấu hình default gateway và static routes</li>
+  <li>Backup, restore và rollback configuration</li>
+  <li>Lab thực hành: Setup router 2 interfaces WAN + LAN hoàn chỉnh</li>
+</ul>
+<p>Bài tiếp theo sẽ hướng dẫn cấu hình NAT — cho phép LAN clients truy cập Internet qua VyOS router.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/03-bai-3-nat-source-nat-destination-nat-va-masquerade.md ADDED Viewed

@@ -0,0 +1,321 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e31fc512de3
+title: 'Bài 3: NAT — Source NAT, Destination NAT và Masquerade'
+slug: bai-3-nat-source-nat-destination-nat-va-masquerade
+description: >-
+  Hướng dẫn chi tiết về NAT trên VyOS: Source NAT, masquerade cho LAN,
+  Destination NAT (port forwarding), 1:1 NAT, NPTv6, rule ordering và troubleshooting.
+duration_minutes: 140
+is_free: true
+video_url: null
+sort_order: 3
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<h2>NAT là gì?</h2>
+<p><strong>Network Address Translation (NAT)</strong> là kỹ thuật thay đổi địa chỉ IP nguồn hoặc đích của gói tin khi đi qua router. NAT là thành phần thiết yếu trong mọi hệ thống mạng — cho phép nhiều thiết bị LAN chia sẻ một địa chỉ IP public để truy cập Internet.</p>
+<p>VyOS hỗ trợ đầy đủ các loại NAT thông qua nftables backend:</p>
+<ul>
+  <li><strong>Source NAT (SNAT)</strong>: Thay đổi IP nguồn — dùng cho LAN truy cập Internet</li>
+  <li><strong>Masquerade</strong>: Dạng đặc biệt của SNAT, tự động dùng IP của outbound interface</li>
+  <li><strong>Destination NAT (DNAT)</strong>: Thay đổi IP đích — dùng cho port forwarding</li>
+  <li><strong>1:1 NAT</strong>: Map 1 IP public sang 1 IP private và ngược lại</li>
+  <li><strong>NPTv6</strong>: Network Prefix Translation cho IPv6</li>
+</ul>
+<h2>Source NAT — Cho LAN ra Internet</h2>
+<h3>Topology cơ bản</h3>
+<pre><code class="language-bash">LAN Clients              VyOS Router                Internet
+192.168.1.0/24 --- [eth1: 192.168.1.1] [eth0: 203.0.113.10] --- ISP Gateway
+                         Source NAT: 192.168.1.x → 203.0.113.10</code></pre>
+<h3>Cấu hình Source NAT với IP tĩnh</h3>
+<p>Khi WAN interface có IP tĩnh, sử dụng Source NAT với <code>translation address</code>:</p>
+<pre><code class="language-bash">configure
+set nat source rule 100 outbound-interface name 'eth0'
+set nat source rule 100 source address '192.168.1.0/24'
+set nat source rule 100 translation address '203.0.113.10'
+commit
+save</code></pre>
+<p>Giải thích từng dòng:</p>
+<ul>
+  <li><code>rule 100</code>: Số thứ tự rule (1–999), VyOS xử lý từ nhỏ đến lớn</li>
+  <li><code>outbound-interface name 'eth0'</code>: Áp dụng cho traffic đi ra interface eth0 (WAN)</li>
+  <li><code>source address</code>: Traffic từ subnet LAN 192.168.1.0/24</li>
+  <li><code>translation address</code>: Thay IP nguồn thành IP WAN tĩnh</li>
+</ul>
+<h3>Masquerade — SNAT tự động</h3>
+<p>Khi WAN nhận IP qua DHCP (IP thay đổi), dùng <strong>masquerade</strong> thay vì chỉ định IP cụ thể:</p>
+<pre><code class="language-bash">configure
+set nat source rule 100 outbound-interface name 'eth0'
+set nat source rule 100 source address '192.168.1.0/24'
+set nat source rule 100 translation address masquerade
+commit
+save</code></pre>
+<blockquote>
+  <p><strong>Khi nào dùng masquerade vs SNAT?</strong> Dùng masquerade khi WAN IP là DHCP (thay đổi). Dùng SNAT với IP cụ thể khi WAN IP tĩnh — hiệu suất tốt hơn một chút vì không cần lookup IP mỗi packet.</p>
+</blockquote>
+<h2>Destination NAT — Port Forwarding</h2>
+<p>Destination NAT cho phép chuyển tiếp traffic từ Internet vào server nội bộ. Ví dụ: forward port 80/443 từ WAN vào web server 192.168.1.100.</p>
+<pre><code class="language-bash">configure
+# Forward HTTP (port 80) vào web server
+set nat destination rule 10 description 'HTTP to Web Server'
+set nat destination rule 10 inbound-interface name 'eth0'
+set nat destination rule 10 protocol 'tcp'
+set nat destination rule 10 destination port '80'
+set nat destination rule 10 translation address '192.168.1.100'
+# Forward HTTPS (port 443) vào web server
+set nat destination rule 20 description 'HTTPS to Web Server'
+set nat destination rule 20 inbound-interface name 'eth0'
+set nat destination rule 20 protocol 'tcp'
+set nat destination rule 20 destination port '443'
+set nat destination rule 20 translation address '192.168.1.100'
+commit
+save</code></pre>
+<h3>Port Forwarding với đổi port</h3>
+<p>Forward traffic đến port khác trên server nội bộ:</p>
+<pre><code class="language-bash"># Forward port 8080 trên WAN vào port 80 trên server nội bộ
+set nat destination rule 30 description 'Alt HTTP to Web Server'
+set nat destination rule 30 inbound-interface name 'eth0'
+set nat destination rule 30 protocol 'tcp'
+set nat destination rule 30 destination port '8080'
+set nat destination rule 30 translation address '192.168.1.100'
+set nat destination rule 30 translation port '80'
+commit
+save</code></pre>
+<h3>Forward nhiều ports cùng lúc</h3>
+<pre><code class="language-bash"># Forward port range
+set nat destination rule 40 description 'Game Server Ports'
+set nat destination rule 40 inbound-interface name 'eth0'
+set nat destination rule 40 protocol 'udp'
+set nat destination rule 40 destination port '27015-27020'
+set nat destination rule 40 translation address '192.168.1.200'
+commit
+save</code></pre>
+<h2>1:1 NAT</h2>
+<p>1:1 NAT map một IP public sang một IP private — cả chiều inbound lẫn outbound. Hữu ích khi bạn có nhiều IP public và muốn mỗi server có IP public riêng.</p>
+<pre><code class="language-bash">configure
+# Source NAT: server 192.168.1.100 đi ra với IP 203.0.113.20
+set nat source rule 200 outbound-interface name 'eth0'
+set nat source rule 200 source address '192.168.1.100'
+set nat source rule 200 translation address '203.0.113.20'
+# Destination NAT: traffic vào 203.0.113.20 chuyển đến 192.168.1.100
+set nat destination rule 200 inbound-interface name 'eth0'
+set nat destination rule 200 destination address '203.0.113.20'
+set nat destination rule 200 translation address '192.168.1.100'
+commit
+save</code></pre>
+<blockquote>
+  <p><strong>Lưu ý</strong>: Để 1:1 NAT hoạt động, bạn cần đảm bảo IP 203.0.113.20 được route đến VyOS router (thường ISP cần cấu hình hoặc bạn dùng proxy ARP).</p>
+</blockquote>
+<h2>NPTv6 — Network Prefix Translation cho IPv6</h2>
+<p>Trong IPv6, không sử dụng NAT truyền thống. Thay vào đó, VyOS hỗ trợ <strong>NPTv6</strong> để translate prefix:</p>
+<pre><code class="language-bash">configure
+set nat nptv6 rule 10 description 'NPTv6 for LAN'
+set nat nptv6 rule 10 outbound-interface name 'eth0'
+set nat nptv6 rule 10 source prefix 'fd00::/64'
+set nat nptv6 rule 10 translation prefix '2001:db8:1::/64'
+commit
+save</code></pre>
+<h2>NAT Rule Ordering</h2>
+<p>Thứ tự xử lý NAT rules rất quan trọng:</p>
+<ul>
+  <li>VyOS xử lý rules theo <strong>số thứ tự tăng dần</strong> (rule 10 trước rule 100)</li>
+  <li>Rule đầu tiên match sẽ được áp dụng, các rule sau bị bỏ qua</li>
+  <li>Nên đánh số cách nhau (10, 20, 30...) để dễ chèn rule mới</li>
+  <li>Destination NAT được xử lý <strong>trước</strong> routing decision</li>
+  <li>Source NAT được xử lý <strong>sau</strong> routing decision</li>
+</ul>
+<pre><code class="language-bash"># Thứ tự xử lý packet trên VyOS:
+#
+# Incoming Packet
+#       ↓
+# Destination NAT (DNAT)   ← thay đổi IP đích
+#       ↓
+# Routing Decision          ← quyết định forward hay local
+#       ↓
+# Firewall Rules             ← filter traffic
+#       ↓
+# Source NAT (SNAT)          ← thay đổi IP nguồn
+#       ↓
+# Outgoing Packet</code></pre>
+<h2>Exclude Traffic từ NAT</h2>
+<p>Đôi khi bạn muốn một số traffic không bị NAT (ví dụ: VPN traffic):</p>
+<pre><code class="language-bash"># Exclude VPN subnet từ Source NAT
+set nat source rule 50 outbound-interface name 'eth0'
+set nat source rule 50 source address '192.168.1.0/24'
+set nat source rule 50 destination address '10.10.0.0/16'
+set nat source rule 50 exclude
+# Rule masquerade chung (rule 100, xử lý sau rule 50)
+set nat source rule 100 outbound-interface name 'eth0'
+set nat source rule 100 source address '192.168.1.0/24'
+set nat source rule 100 translation address masquerade
+commit
+save</code></pre>
+<h2>Troubleshooting NAT</h2>
+<h3>Kiểm tra NAT rules</h3>
+<pre><code class="language-bash"># Xem NAT rules đang hoạt động
+show nat source rules
+show nat destination rules
+# Xem NAT translations đang active
+show nat source translations
+show nat destination translations
+# Xem NAT statistics
+show nat source statistics
+show nat destination statistics</code></pre>
+<h3>Các lỗi thường gặp</h3>
+<ul>
+  <li><strong>LAN không ra Internet</strong>: Kiểm tra Source NAT rule, outbound-interface đúng chưa, source address đúng subnet chưa</li>
+  <li><strong>Port forwarding không hoạt động</strong>: Kiểm tra firewall có cho phép traffic đến port đó không, inbound-interface đúng chưa</li>
+  <li><strong>Rule ordering sai</strong>: Rule exclude phải có số nhỏ hơn rule NAT chung</li>
+</ul>
+<pre><code class="language-bash"># Debug NAT
+monitor log | match nat
+# Hoặc xem conntrack
+show conntrack table ipv4</code></pre>
+<h2>Lab thực hành: NAT hoàn chỉnh</h2>
+<p>Topology lab:</p>
+<pre><code class="language-bash">Internet
+    |
+[eth0: DHCP] VyOS Router [eth1: 192.168.100.1/24]
+                              |
+              +---------------+---------------+
+              |               |               |
+         PC Client       Web Server      Game Server
+       192.168.100.10   192.168.100.100  192.168.100.200</code></pre>
+<h3>Bước 1: Masquerade cho LAN</h3>
+<pre><code class="language-bash">configure
+# Source NAT masquerade cho toàn bộ LAN
+set nat source rule 100 outbound-interface name 'eth0'
+set nat source rule 100 source address '192.168.100.0/24'
+set nat source rule 100 translation address masquerade
+commit</code></pre>
+<h3>Bước 2: Port forward cho Web Server</h3>
+<pre><code class="language-bash"># Forward HTTP/HTTPS vào web server
+set nat destination rule 10 description 'HTTP Port Forward'
+set nat destination rule 10 inbound-interface name 'eth0'
+set nat destination rule 10 protocol 'tcp'
+set nat destination rule 10 destination port '80'
+set nat destination rule 10 translation address '192.168.100.100'
+set nat destination rule 20 description 'HTTPS Port Forward'
+set nat destination rule 20 inbound-interface name 'eth0'
+set nat destination rule 20 protocol 'tcp'
+set nat destination rule 20 destination port '443'
+set nat destination rule 20 translation address '192.168.100.100'
+commit</code></pre>
+<h3>Bước 3: Port forward cho Game Server</h3>
+<pre><code class="language-bash"># Forward game ports
+set nat destination rule 30 description 'Game Server UDP'
+set nat destination rule 30 inbound-interface name 'eth0'
+set nat destination rule 30 protocol 'udp'
+set nat destination rule 30 destination port '27015-27020'
+set nat destination rule 30 translation address '192.168.100.200'
+commit
+save</code></pre>
+<h3>Bước 4: Kiểm tra</h3>
+<pre><code class="language-bash">exit
+# Xem tất cả NAT rules
+show nat source rules
+show nat destination rules
+# Từ PC Client, test Internet
+# ping 8.8.8.8 (trên client)
+# Xem NAT translations
+show nat source translations</code></pre>
+<h2>Tổng kết</h2>
+<p>Trong bài này, bạn đã nắm được:</p>
+<ul>
+  <li><strong>Source NAT</strong>: Cho phép LAN truy cập Internet bằng cách thay IP nguồn</li>
+  <li><strong>Masquerade</strong>: SNAT tự động — phù hợp khi WAN IP là DHCP</li>
+  <li><strong>Destination NAT</strong>: Port forwarding từ Internet vào server nội bộ</li>
+  <li><strong>1:1 NAT</strong>: Map hai chiều giữa IP public và IP private</li>
+  <li><strong>NPTv6</strong>: Prefix translation cho IPv6</li>
+  <li>NAT rule ordering và cách exclude traffic khỏi NAT</li>
+  <li>Troubleshooting NAT bằng show commands và conntrack</li>
+</ul>
+<p>Bài tiếp theo sẽ đi vào <strong>Firewall</strong> — bước quan trọng nhất để bảo vệ mạng. NAT và Firewall luôn đi đôi với nhau trên VyOS.</p>