2024年Linux最新【防火墙】的面试题_运维防火墙面试题(1)，2024年最新华为架构师深入讲解Linux运维开发

最后的话

最近很多小伙伴找我要Linux学习资料，于是我翻箱倒柜，整理了一些优质资源，涵盖视频、电子书、PPT等共享给大家！

资料预览

给大家整理的视频资料：

给大家整理的电子书资料：

如果本文对你有帮助，欢迎点赞、收藏、转发给朋友，让我有持续创作的动力！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

#### 2 填空



> 
> 2.1 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止破坏性侵入（内部网络）
> 
> 
> 



> 
> 2.2 在centos7下，我想关闭掉防火墙，应该用命令\_\_\_systemctl stop firewalld\_\_\_来关闭掉。如果以后开机都不想它启动起来，执行\_\_\_**systemctl disable firewalld**\_\_\_\_命令
> 
> 
> 



> 
> 2.3 在Centos7 配置ip转发需要在\*\*/etc/sysctl.conf**里加入**net.ipv4.ip\_forward=1**执行**sysctl -p\*\*命令后生效
> 
> 
> **相关链接**：<https://blog.csdn.net/drxRose/article/details/88797494>
> 
> 
> 


#### 3 简答



> 
> 
> ```
> iptables save	//保存规则
> systemctl restart iptables	//重启iptables服务以便生效
> 
> ```
> 
> 


**相关链接**：<https://www.cnblogs.com/wajika/p/6382853.html>


![](https://imgconvert.csdnimg.cn/aHR0cHM6Ly91cGxvYWQtaW1hZ2VzLmppYW5zaHUuaW8vdXBsb2FkX2ltYWdlcy8xNjk1MjE0OS05ZmY3YjE2ZjIyZjE1ZDJmLnBuZw)

filter表：
​INPUT 作用:用于发送到本地套接字的数据包。
​FORWARD 作用:对于正在通过该框路由的数据包。
​OUTPUT 作用:用于本地生成的数据包。

nat表：
​PREROUTING 作用:因为他们一进来就改变了包
​OUTPUT 作用:用于在路由之前更改本地划分的数据包。
​POSTROUTING 作用:改变包，因为它们即将离开

> 
> **3.1 防火墙策略，开放服务器80端口，禁止来自10.0.0.188的地址访问服务器80端口的请求。**
> 
> 
> 
> ```
> iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -p tcp -d 10.0.0.188 --dport 80 -j DROP
> 
> ```
> 
> 



> 
> **3.2 防火墙策略，实现把访问10.0.0.3:80的请求转到172.16.1.17:8080上。**
> 
> 
> 
> ```
> iptables -t nat -A PREROUTING -d 10.00.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.17:8080
> 
> ```
> 
> 



> 
> **3.3 防火墙策略配置说明。阐述出10.10.10.1访问192.168.1.1所有端口策略需要的配置过程**
> 
> 
> 
> ```
> 
> 
> ```
> 
> 



> 
> **3.4 iptables使用的表有哪些？请简要的描述iptables使用的表以及它们所支持的链。**
> 
> 
> 
> ```
> Filter表、Nat表、Mangle表、Raw表
> 
> Filter表 : Filter表是iptables中使用的默认表，它用来过滤网络包。如果没有定义任何规则，Filter表则被当作默认的表，并且基于它来过滤。支持的链有​INPUT链，​OUTPUT链，​FORWARD链。
> 
> Nat表 : Nat表主要用于网络地址转换。根据表中的每一条规则修改网络包的IP地址。流中的包仅遍历一遍Nat表。例如，如果一个通过某个接口的包被修饰（修改了IP地址），该流中其余的包将不再遍历这个表。通常不建议在这个表中进行过滤，由NAT表支持的链称为​PREROUTING链，​POSTROUTING链和​OUTPUT链。
> 
> Mangle表 : 正如它的名字一样，这个表用于校正网络包。它用来对特殊的包进行修改。它能够修改不同包的头部和内容。Mangle表不能用于地址伪装。支持的链包括​PREROUTING链，​OUTPUT链，​Forward链，​Input链和​POSTROUTING链。
> 
> Raw表 : Raw表在我们想要配置之前被豁免的包时被使用。它支持​PREROUTING链和​OUTPUT链。
> 
> ```
> 
> 



> 
> **3.5 屏蔽192.168.1.5访问本机dns服务端口：**
> 
> 
> 
> ```
> iptables -A INPUT -s 192.168.1.5 -j DROP
> 
> ```
> 
> 



> 
> **3.6 允许10.1.1.0/24访问本机的udp 8888 9999端口**
> 
> 
> 相关链接：<https://blog.csdn.net/zhaoyangjian724/article/details/52572632>
> 
> 
> 
> ```
> iptables -A INPUT -p udp -s 10.1.1.0/24 -m multiport ! --dport 8888,9999 -j DROP 
> 
> ```
> 
> 



> 
> **3.7 iptables禁止10.10.10.1访问本地80端口**
> 
> 
> 
> ```
> iptables -A INPUT -p tcp -s 10.10.10.1 --dport 80 -j DROP
> 
> ```
> 
> 



> 
> **3.8 如何利用iptables屏蔽某个IP对80端口的访问**
> 
> 
> 
> ```
> iptables -A INPUT -p tcp -s #屏蔽的IP# --dport 80 -j DROP
> 
> ```
> 
> 



> 
> **3.9 写出iptables四表五链，按照优先级排序**
> 
> 
> iptables四个表与五个链间的处理关系:<https://www.bbsmax.com/A/kmzLBxAG5G/>
> 
> 
> 
> ```
> 默认表是filter（没有指定表的时候就是filter表）
> 
> iptables的四表优先级：raw--->mangle--->nat--->filte
> ​​filter：一般的过滤功能
> ​​nat:用于nat功能（端口映射，地址映射等）
> ​​mangle:用于对特定数据包的修改
> ​​raw:有限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能
> 
> iptables的五链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
> ​​PREROUTING:数据包进入路由表之前
> ​​INPUT:通过路由表后目的地为本机
> ​​FORWARDING:通过路由表后，目的地不为本机
> ​​OUTPUT:由本机产生，向外转发
> ​​POSTROUTIONG:发送到网卡接口之前
> 
> ```
> 
> 



> 
> **3.10如何通过iptables将本地80端口的请求转发到8080端口，当前主机IP为192.168.2.1**
> 
> 
> 
> ```
> 
> 
> ```
> 
> 



> 
> **3.11请写一条命令，只允许80端口，其他端口都拒绝，eth1网卡ip为192.168.1.12**
> 
> 
> 
> ```
> 
> 
> ```
> 
> 



> 
> **3.12限制连接到192.168.100.100:8080 后端服务最大1000**
> 
> 
> 
> ```
> 
> 
> ```
> 
> 



> 
> **3.13请简述防火墙的基本功能和特点**
> 
> 
> 
> ```
> 
> 
> ```
> 
> 



> 
> **3.14内网环境中，A（10.0.0.1）机与B（10.0.0.2）机互通，现在需要在A机上简历安全策略，禁止B机访问A机的SSH服务（22端口）有几种方法？如何操作？**
> 
> 
> 
> ```
> 
> 
> ```
> 
> 



> 
> **3.15service iptables stop 与 iptables -F 有何区别？**
> 
> 
> 
> ```
> 
> 
> ```
> 
> 



> 
> **3.16Iptables封禁eth0网卡与192.168.1.1通讯的所有数据包**
> 


![](https://img-blog.csdnimg.cn/img_convert/9a8cb5f8c0ec69e6499adead0da6e95b.png)


最全的Linux教程，Linux从入门到精通

======================

1.  **linux从入门到精通(第2版)**

2.  **Linux系统移植**

3.  **Linux驱动开发入门与实战**

4.  **LINUX 系统移植 第2版**

5.  **Linux开源网络全栈详解 从DPDK到OpenFlow**



![华为18级工程师呕心沥血撰写3000页Linux学习笔记教程](https://img-blog.csdnimg.cn/img_convert/59742364bb1338737fe2d315a9e2ec54.png)



第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。



![华为18级工程师呕心沥血撰写3000页Linux学习笔记教程](https://img-blog.csdnimg.cn/img_convert/9d4aefb6a92edea27b825e59aa1f2c54.png)



**本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。**

> 需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论




**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友，可以点击这里获取！](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。**

> 需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论




**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友，可以点击这里获取！](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**