iptables面试题

最新推荐文章于 2024-04-10 15:04:28 发布
最新推荐文章于 2024-04-10 15:04:28 发布
阅读量198 收藏
点赞数
文章标签: iptables
原文链接:https://www.jianshu.com/p/8ef3bb10d791
版权

1、详述iptales工作流程以及规则过滤顺序?


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     工作顺序依次为:raw 、mangle 、nat 、
     
     filter规则链间的匹配顺序
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     入站数据:PREROUTING 、INPUT
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     出站数据:OUTPUT 、POSTROUTING
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     转发数据:PREROUTING 、FORWARD POSTROUTING

image.png

2、iptables有几个表以及每个表有几个链?

Iptables有四表五链

3、请写出查看iptables当前所有规则的命令。

iptables -L –nv

4、禁止来自10.0.0.188 ip地址访问80端口的请求

iptables -A INPUT -p tcp --dport 80 -j DROP

5、如何使在命令行执行的iptables规则永久生效?

iptables save >>/etc/sysconfig/iptables

6、实现把访问10.0.0.3:80的请求转到172.16.1.17:80

tables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.6:80

7、实现172.16.1.0/24段所有主机通过124.32.54.26外网IP共享上网。


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables -t nat -A POSTROUTING -s 
     
     172.16
     
     .1
     
     .0/
     
     24 -j SNAT --
     
     to-source 
     
     124.32
     
     .54
     
     .26
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables -t nat -A POSTROUTING -s 
     
     172.16
     
     .1
     
     .0/
     
     24 -j MASQUERADE

8、描述tcp 3次握手及四次断开过程?

9、请描述iptables的常见生产应用场景。

端口映射
企业应用场景:
1) 把访问外网IP及端口的请求映射到内网某个服务器及端口(企业内部);
2) 硬件防火墙,把访问LVS/nginx外网VIP及80端口的请求映射到IDC 负载均衡服务器内部IP及端口上(IDC机房的操作) ;
局域网共享上网
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 120.43.61.124

10、企业WEB应用较大并发场景如何优化iptables?


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.nf_conntrack_max = 25000000
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_max = 25000000
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_tcp_timeout_established = 180
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

11、写一个防火墙配置脚本,只允许远程主机访问本机的80端口(奇虎360面试题)


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables -A INPUT -p tcp 
     
     --dport 80 -j accept
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables -A INPUT -p tcp -j 
     
     DROP

12、请描述如何配置一个linux上网网关?

route add -net 192.168.0.0/24 gw 10.0.0.253 dev eth1

13、请描述如何配置一个专业的安全的WEB服务器主机防火墙?


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     先将默认的INPUT链和Forward链关闭,只开放允许进入的端口
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables -P OUTPUT ACCEPT
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables -P FORWARD 
     
     DROP
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables -P 
     
     INPUT 
     
     DROP

14、企业实战题6:请用至少两种方法实现!写一个脚本解决DOS攻击生产案例

提示:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔3分钟。防火墙命令为:iptables -A INPUT -s 10.0.1.10 -j DROP。


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     方法一:
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     netstat -na|grep EST|awk -F 
     
     "[ :]+" ‘{
     
     print 
     
     $6}‘|sort|uniq -c >>/tmp/a.log
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     while 
     
     true
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     do
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     grep EST a.log|awk -F ‘[ :]+‘ ‘{
     
     print 
     
     $6}‘|sort|uniq -c >/tmp/tmp.log
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     exec </tmp/tmp.log
    
    
    
   
   
  7. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     while 
     
     read line
    
    
    
   
   
  8. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     do
    
    
    
   
   
  9. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ip=`
     
     echo 
     
     $line|awk 
     
     "{print $2}"`
    
    
    
   
   
  10. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     count=`
     
     echo 
     
     $line|awk 
     
     "{print $1}"`
    
    
    
   
   
  11. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     if [ 
     
     $count -gt 100 ] && [ `iptables -L -n|grep 
     
     $ip|wc -l` -lt 1 ]
    
    
    
   
   
  12. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     then
    
    
    
   
   
  13. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables -I INPUT -s 
     
     $ip -j DROP //-I 将其封杀在iptables显示在第一条
    
    
    
   
   
  14. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     echo 
     
     "$line is dropped" >>/tmp/dropip.log
    
    
    
   
   
  15. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     fi
    
    
    
   
   
  16. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     done
    
    
    
   
   
  17. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     sleep 180
    
    
    
   
   
  18. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     done
    
    
    
   
   
  19. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  20. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     方法二:netstat -na|grep EST|awk -F 
     
     "[ :]+" ‘{
     
     print 
     
     $6}‘|awk ‘{S[
     
     $1]++}END{
     
     for(i 
     
     in S) 
     
     print i,S[i]}‘

15、/var/log/messages日志出现kernel: nf_conntrack: table full, dropping packet.请问是什么原因导致的?如何解决?

优化内核参数


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.nf_conntrack_max = 25000000
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_max = 25000000
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_tcp_timeout_established = 180
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

17、压轴上机实战iptables考试题

image.png

 

image.png


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ptables 
     
     -t 
     
     nat 
     
     -A 
     
     POSTROUTING 
     
     -s 10
     
     .0
     
     .0
     
     .253 
     
     -j 
     
     SNAT 
     
     -o 
     
     eth0 
     
     --to-source 120
     
     .43
     
     .61
     
     .124
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables 
     
     -A 
     
     INPUT 
     
     -p 
     
     tcp 
     
     --dport 80 
     
     -j 
     
     ACCEPT
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     tcpdump 
     
     ip 
     
     host 10
     
     .0
     
     .0
     
     .253 
     
     and 10
     
     .0
     
     .0
     
     .6tcpdump 
     
     ip 
     
     host 10
     
     .0
     
     .0
     
     .253 
     
     and 10
     
     .0
     
     .0
     
     .7
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     iptables 
     
     -t 
     
     nat 
     
     -A 
     
     PREROUTING 
     
     -d 120
     
     .43
     
     .61
     
     .124 
     
     -p 
     
     tcp 
     
     --dport 80 
     
     -j 
     
     DNAT 
     
     --to-destination 172
     
     .16
     
     .1
     
     .6
     
     :80

小礼物走一走,来简书关注我



作者:王亚飞1992
链接:https://www.jianshu.com/p/8ef3bb10d791
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

@橘ふ汽渁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
知识总结12:iptables三表五链详解及面试题
zxn_0823的博客
08-25 1105
目录 iptables 面试题 iptables是什么? iptables的工作流程,以及过滤循序? iptables 有几个表以及每个表有几个链? iptables 的几个表以及每个表对应链的作用,对应企业应用场景? 画图讲解 iptables 包过滤经过不同表和链简易流程图并阐述。 你听说过iptables 或 firewall? 知道如何用? iptales的前端图形化工具或命令行? iptables 和 firewalld基本不同点? 如果你用firewalld代替iptable
2024年最全【防火墙】的面试题_运维防火墙面试题,Linux运维面试题大全
最新发布
m0_63174529的博客
05-09 405
​OUTPUT 作用:用于在路由之前更改本地划分的数据包。​PREROUTING 作用:因为他们一进来就改变了包。​POSTROUTING 作用:改变包,因为它们即将离开。​INPUT 作用:用于发送到本地套接字的数据包。​FORWARD 作用:对于正在通过该框路由的数据包。​OUTPUT 作用:用于本地生成的数据包。
运维人员20道必会iptables面试题
weixin_34365635的博客
02-09 295
1、详述iptales工作流程以及规则过滤顺序? iptables过滤的规则顺序是由上至下,若出现相同的匹配规则则遵循由上至下的顺序   2、iptables有几个表以及每个表有几个链? Iptables有四表五链   3、iptables的几个表以及每个表对应链的作用,对应企业应用场景?     filter:INPUT  作用:for  packets destined  t...
iptables面试题(附带答案)
热气球
02-27 3723
1.详述iptables工作流程以及规则过滤顺序? iptables是采用数据包过滤机制工作的,所以他会对请求的数据包的包头数据进行分析,并根据我们预先设定的规则来匹配进行相关操作。 当防火墙收到数据包时: 1.防火墙是一层一层的过滤的,规则顺序从上到下,从前到后进行归路 2.如果匹配上规则(ACCEPT,DROP)就不会再向下匹配了。 3.如果匹配规则没有明确表明是阻止或者是通过这个数据包,也就...
iptables--面试题
修行之路
06-27 1558
1 、详述 iptales 工作流程以及规则过滤顺序? iptables过滤的规则顺序是由上至下,若出现相同的匹配规则则遵循由上至下的顺序 2 、 iptables 有几个表以及每个表有几个链? Iptables有四表五 链 3 、 iptables 的几个表以及每个表对应链的作用,对应企业应用场景? filter:INPUT  作用:for  packets
linux面试题术语.zip
10-15
在Linux领域,面试题往往涵盖了操作系统的基本概念、命令行操作、文件系统管理、进程控制、网络配置、权限管理以及shell脚本编程等多个方面。这里,我们主要围绕"Linux面试题术语"来深入探讨这些关键知识点。 1. **...
北京天华威视科技有限公司面试题_嵌入式-常用知识&面试题库_大厂面试真题.doc
08-07
北京天华威视科技有限公司作为一家专业公司,其面试题库反映了对嵌入式工程师的基本技能和知识的高要求。以下是一些面试中可能涉及的关键知识点: 1. **线程的同步方式**: - **互斥量(Mutex)**:确保同一时间只有...
linux面试题总结
02-02
### Linux面试题精炼知识点解析 #### 题目一:清理旧日志文件 **题目描述**:编写一个Linux脚本,查找`/usr/local`目录下超过三天的`.log`文件并删除。 **解决方案**: ```bash find /usr/local -name "*.log" -...
linux 面试题
12-28
腾讯linux面试题 shell iptables
企业优秀运维人员20道必会iptables面试题(附答案)
TY19285的博客
05-05 360
2018-05-0513:42:58 要求:大家务必会笔答,会熟练口头表达,面试完败其他竞争的面试者 1、详述iptales工作流程以及规则过滤顺序? iptables 是采用数据包过滤机制工作的,所以它会对请求的数据包的包头数据进行分析,并根据我们预先设定的规则来匹配进行相关操作。 当防火墙收到数据包时: 1.防火墙是一层一层第过滤的,规则顺序从上到下,从前到后进行过滤。 ...
企业优秀运维人员20道必会iptables面试题
ChuanqiDuan's blog
03-12 837
企业优秀运维人员20道必会iptables面试题   老男孩教育运维班必会iptables面试题 老男孩教育因为优秀所以优秀,作为老男孩学生的一员,你要不要一样优秀?   要求:大家务必会笔答,会熟练口头表达,面试完败其他竞争的面试者  (2015年4月23日 20期运维班全体学员解答,时光过得真快,转眼,20期就要毕业上战场了,你们的刀磨快了么? (一)企业面试口试题 1、详述i
iptables企业面试题集锦
互联网老辛
04-16 2550
详述iptales工作流程以及规则过滤顺序? iptables采用数据包过滤机制工作的,他会对请求的数据包的包头数据进行分析,并根据预先设定的规则决定是否可以进入主机. 过滤顺序是层层过滤,从上到下,从前到后进行过滤. 只要匹配上就不再往下进行匹配 iptables有几个表以及每个表有几个链? 4个表 5个链 iptables的几个表以及每个表对应链的作用,对应企业应用场景? 3个表 ...
linux面试经历:iptables面试题
CSDN1887的博客
01-02 2896
1 你听说过iptables 或 firewall? 知道如何用? 知道, iptables是c语言编写的基于GNU的应用程序。最新稳定版本是1.6.1.可以作为unix平台下或linux开放系统下的防火墙。实际上通过iptables/netfilter 来实现相应功能。 管理员通过console端在预定义的表中定义防火墙规则。Netfilter是系统的核心模块,用于过滤规则。 firewalld...
iptables练习题
qq_44309067的博客
02-03 552
部分鉴于 运维人员20道必会iptables面试题 1、详述iptales工作流程以及规则过滤顺序? iptables过滤的规则顺序是由上至下,若出现相同的匹配规则则遵循由上至下的顺序 2、iptables的几个表以及每个表对应链的作用? Iptables有四表五链 Filter表 : Filter表是iptables中使用的默认表,它用来过滤网络包。如果没有定义任何规则,Filter表则被当作默认的表,并且基于它来过滤。支持的链有​INPUT链,​OUTPUT链,​FORWARD链。 Nat表 : Na
『运维备忘录』之 iptables 防火墙使用指南,2024年最新靠着这份面试题跟答案
2401_84185585的博客
04-10 305
这里,22 为你的 ssh 端口, -s 192.168.1.0/24 表示允许这个网段的机器来连接,其它网段的 ip 地址是登陆不了你的机器的。-j ACCEPT 表示接受这样的请求。
Iptables实例练习
刺心的博客
12-06 1065
Iptables实例练习屏蔽网站 1、屏蔽网站域名:iptables -I FORWARD -d www.baidu.com -j DROP 2、屏蔽网站IP:iptables -I FORWARD -d 192.168.1.1 -J DROP 为什么是FORWARD?看过前面博客就知道,FORWARD代表不是本机产生的且目的地不是本机,这个网站不是本机的服务所以用FORWARD 屏蔽服务 1
iptables知识点汇总小结
人生无处不修行
05-08 627
知识点总结 1、什么是iptables 基于包过滤的一个防火墙工具,对流入和流出的数据包进行很精细的控制,集成在linux2.6内核中,通过squid+iptables支持7层控制。 总共拥有5链4表: 5链:input,output,forward,prerouting,postrouting 4表:filter,nat,managle,raw Filter表 是真正的防火墙功能...
Linux运维常见面试题汇总
Linux面试试题 Linux面试试题中涵盖了多个方面的知识点,从文件操作、网络配置到shell脚本编程和存储技术等。下面对每个问题进行详细的解释和分析: **1. 查询file1里面空行的所在行号** 使用awk命令可以实现该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值