Linux防火墙配置练习题

最新推荐文章于 2024-04-09 18:40:59 发布
最新推荐文章于 2024-04-09 18:40:59 发布
阅读量2.5k 收藏 14
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/un_locked/article/details/105395221
版权

iptables练习题:
1、iptables有几个表以及每个表有几个链

5个表:filter,nat,mangle,raw,security
5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

2、iptables的几个表以及每个表对应链的作用,对应企业应用场景

====================作用====================
filter表:过滤包
nat表:网络地址转换、端口映射
mangle表:用于对特定数据包的修改
raw表:有限级最高,不让iptables做数据包的链接跟踪处理,提高性能
security表:用于强制访问控制(MAC)的网络规划

PREROUTING链:数据包进入路由表之前
INPUT链:通过路由表之后目的地为本机
FORWARD链:通过路由表后,目的地不为本机
OUTPUT链:由本机产生,向外转发
POSTROUTING链:发送到网卡接口之前

====================场景====================
filter表是实现本机防火墙功能的重要手段,特别是对INPUT链的控制。
nat表一般用于局域网共享上网或特殊的端口转换服务。
mangle表、raw表和security表都不常用。

3、请写出查看iptables当前所有规则的命令

iptables -nvL -t nat  //查看nat表的所有规则

4、禁止来自192.168.100.20 ip地址访问80端口的请求

iptables -A INPUT -p tcp -s 192.168.100.20 --dport 80 -j DROP

5、实现把访问192.168.100.20:80的请 求转到192.168.100.30:80

iptables -t nat -A PREROUTING -d 192.168.100.20 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.30:80

6、写一个防火墙配置脚本,只允许远程主机访问本机的80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

7、限制客户端对本机telnet服务并发连接数小于等于3

iptables -A INPUT -d 192.168.117.14 -p tcp --dport 23 -m connlimit --connlimit-upto 3 -j ACCEPT

8、仅允许周1、3、5 , 8点到18点访问本机telnet

iptables -I INPUT -d 192.168.117.14 -p tcp --dport 23 -m time --timestart 8:00:00 --timestop 18:00:00 --weekdays Mon,Sat,Fri -j ACCEPT

9、iptables只开启ssh、 web、telnet访问

iptables -A INPUT -p tcp -m multiport --dports 22,23,80 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sports 22,23,80 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

10、指定ip地址范围(192.168.117.14-192.168.117.16)可以访问本机mysql

iptables -A INPUT -p tcp --dport 3306 -m iprange --src-range 192.168.117.14-192.168.117.16 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3306 -m iprange --dst-range 192.168.117.14-192.168.117.16 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

Firewalld练习题:
练习题:
1.默认public区域对外开放所有人能通过ssh服务连接,但拒绝192.168.200.0/24网段通过ssh连接服务器。

firewall-cmd --add-rich-rule='rule family=ipv4 source address="192.168.200.0/24" service name="ssh" drop'

2.使Firewalld允许所有人能访问http,nginx服务,但只有192.168.100.10主机可以访问ssh服务。

firewall-cmd --add-service={http,nginx}
firewall-cmd --add-rich-rule='rule family=ipv4 source address="192.168.100.10/32" service name=ssh accept'

3.当用户来源IP地址是192.168.100.20主机,则将用户请求的5555端口转发至后端192.168.100.10的22端口。

firewall-cmd --add-rich-rule='rule family=ipv4 source address="192.168.100.20" forward-port port="5555" protocol="tcp" to-port="22" to-addr="192.168.100.10"'

4.将tcp协议端口3300-3400添加到external区域。

firewall-cmd --zone=external --add-port={3300,3400}/tcp

5.查询internal区域中是否包含接口ens33。

firewall-cmd --zone=internal --query-interface=ens33

6.为internal区域删除绑定的网络接口ens33。

firewall-cmd --zone=internal --remove-interface=ens33

7.查询internal区域中是否启用了SSH服务。

firewall-cmd --zone=internal --query-service=ssh

8.为internal区域设置允许访问SSH服务。

firewall-cmd --zone=internal --add-service=ssh

iptables练习题:
1.INPUT和OUTPUT默认策略为DROP;

iptables -P INPUT DROP
iptables -P OUTPUT DROP

2.限制本地主机的web服务器在周二、周五不允许访问;新请求的速率不能超过150个每秒;web服务器包含了demo字符串的页面不允许访问;web服务器仅允许响应报文离开本机;

iptables -A INPUT -d 192.168.117.14 -p tcp --dport 80 -m limit --limit 150/second -m time --weekdays Tue,Fri -j REJECT
iptables -A OUTPUT -d 192.168.117.14 -p tcp --dport 80 -m string --string "demo" --algo kmp -j REJECT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

3.在工作时间,即周一到周五的8:30-18:00,开放本机的samba服务共享的目录给192.168.100.20网络中的主机访问;数据访问次数每分钟不得超过20个;

iptables -A INPUT -s 192.168.117.14 -m time --timestart 08:30:00 --timestop 18:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m limit --limit 20/minute -j ACCEPT
setsebool -P samba_enable_home_dirs on

4.开放本机的ssh服务给192.168.100.9-192.168.100.155中的主机,新请求建立的速率一分钟不得超过3个;仅允许响应报文通过其服务端口离开本机;

iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.100.9-192.168.100.155 -m limit --limit 3/minute -m recent --set --name SSH

5.定制源地址访问策略:
1)接收来自192.168.100.30的IP访问;
2)拒绝来自192.168.200.0/24网段的访问

1) iptables -A INPUT -s 192.168.100.30 -j ACCEPT
2) iptables -A INPUT -s 192.168.200.0/24 -j DROP

6.目标地址192.168.100.20的访问给予记录,并查看/var/log/message

iptables -A INPUT -s 192.168.100.20 -j LOG

7.定制端口访问策略:
1)拒绝任何地址访问本机的8081端口;
2)拒绝192.168.200.0/24网段的1024-65534的源端口访问SSH

1) iptables -A INPUT -p tcp --dport 8081 -j DROP
2) iptables -A INPUT -s 192.168.200.0/24 -p tcp --sport 1024:65534 --dport 22 -j DROP

8.定制防火墙的MAC地址访问策略:
1)清除所以已经存的规则;
2)将INPUT设为DROP;
3)将目标计算机192.168.100.30的MAC(00:0c:29:52:42:6f)设为ACCEPT

1) iptables -F
2) iptables -P INPUT DROP
3) iptables -A INPUT -m mac --mac-source 00:0c:29:52:42:6f -j ACCEPT

9.定制防火墙的NAT访问策略:
1)清除所有NAT策略;
2)重置ip_forward为1;
3)通过SNAT设定来源于192.168.100.20网段通过ens33转发出去;
4)用iptables观察转发的数据包。

1) iptables -F -t nat
2) echo "1" > /proc/sys/net/ipv4/ip_forward
3) iptables -t nat -A POSTROUTING -o ens33 -j SNAT --to 192.168.100.20
4) iptables -nvL -t nat

10.端口转发访问策略:
1)清除所有NAT策略;
2)重置ip_forward为1;
3)通过DNAT设定为所有访问192.168.100.30的22端口,都访问到192.168.100.20的22端口;
4)设定所有到192.168.100.20的22端口的数据包都通过FORWARD转发;
5)设定回应数据包,即通过NAT的POSTROUTING设定,使通讯正常。

1) iptables -F -t nat
2) echo "1" > /proc/sys/net/ipv4/ip_forward
3) iptables -t nat -A PREROUTING -d 192.168.100.30 -p tcp --dport 22 -j DNAT --to-destination 192.168.100.20:22
4) iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
5)iptables -t nat -A POSTROUTING -p tcp --dport 22 -j MASQUERADE

Firewalld练习题:
1.配置防火墙规则允许192.168.100.0/24 网段的用户对controller和compute进行ssh访问;禁止192.168.200.0/24 网段的用户对controller和compute进行ssh访问.

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.100.0/24" service name="ssh" accept'
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.200.0/24" service name="ssh" reject'

2.配置端口转发在controller和compute配置端口转发,要求:在192.168.200.0/24网段中的主机,访问server的本地端口5321将被转发到80端口此设置必须永久有效、设置开机启动防火墙.

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.200.0/24" forward-port port="5321" protocol="tcp" to-port="80"'
systemctl enable firewalld

3.开启80端口,查看80端口状态;

firewall-cmd --add-port=80/tcp
firewall-cmd --list-ports

4.允许来自主机 192.168.100.20 的80 端口的 IPv4 的 TCP 流量,并将流量转发到 6532 端口上;

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.100.20" forward-port port="80" protocol="tcp" to-port="6532"'

5.每分钟允许2个新连接访问ftp服务;

firewall-cmd --add-rich-rule='rule service name="ftp" limit value="2/m" audit accept'

6.修改默认区域为home,并添加接口ens33到当前默认区域下,查询出结果;

firewall-cmd --set-default-zone=home
firewall-cmd --add-interface=ens33
firewall-cmd --get-zone-of-interface ens33

7.放开ssh服务,并限制只有192.168.100.30可以访问3306端口;

firewall-cmd --add-service=ssh
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.100.30" port protocol="tcp" port="3306" accept'

8.增加666端口到public域上,并查询结果;

firewall-cmd --zone=public --add-port=666/tcp
firewall-cmd --zone=public --list-port

9.将tcp协议1000-8888端口,添加到home区域下;并添加192.168.100.0/24网段到home区域;

firewall-cmd --zone=home --add-port="1000-8888/tcp"
firewall-cmd --zone=home --add-source="192.168.100.0/24"

10.修改home区域绑定的网卡接口,将它绑定到internal区域,并查询接口所在区域结果;

firewall-cmd --zone=internal --change-interface=ens33
firewall-cmd --zone=internal --query-interface=ens33
cruize3
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络工程师路由器、交换机、VLAN及防火墙配置习题总结
03-25
网络工程师路由器、交换机、VLAN及防火墙配置习题总结
iptables防火墙详解
Shawn的个人博客
04-07 3337
自定义链可以方便的管理不同的规则,方便后期规则的修改,但是需要注意的是,自定义链并不能直接使用,而是需要被默认链引用才能够使用。
(一)Linux 防火墙(重点(1),Linux运维最新面试题
最新发布
2401_84140547的博客
04-09 952
数据包过滤匹配流程(重点)IPTABLES和路由路由功能发生的时间点 报文本机• 判断目标主机是否为本机是:INPUT 流入否:FORWARD 转发 报文本机• 判断由哪个接口送往下一跳内核中数据包的传输过程当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去如果数据包就是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达
ensp练习:防火墙安全策略配置
热门推荐
zaqzaqzaqzzz的博客
09-26 3万+
一、实验目的: 1、 了解华为防火墙安全策略。 2、 掌握华为防火墙安全策略的配置。 二、实验仪器: 计算机、华为ensp模拟器、华为防火墙 三、实验内容: 根据网络拓扑图如上(交换机不需要配置),在防火墙配置安全策略,要求: (1) 192.168.0.0/24网段可以访问server1。 (2) pc2不能访问server1。 (3) 192.168.1.0/24网段不可以ping通serv...
firewalld/iptables防火墙维护和状态查询命令(防火墙重载,区域操作命令,开启服务或端口,堵塞端口,iptables规则添加和删除)
weixin_47151717的博客
08-01 1092
文章目录firewalld防火墙维护和状态查询命令firewalld防火墙状态查询命令firewalld防火墙重载配置命令重新加载firewalld的配置查询预定义信息命令firewalld区域操作命令区域操作命令2firewalld区域操作命令3区域操作命令总结firewalld服务操作命令操作命令总结firewalld端口操作命令操作命令总结firewalld阻塞ICMP操作命令操作命令总结 firewalld防火墙维护和状态查询命令 [root@localhost ~]# systemctl sto
Linux防火墙及其配置.ppt
11-16
Linux防火墙及其配置.ppt
Linux防火墙配置SNAT教程(1)
01-10
 (防火墙配置-访问外网WEB:linux防火墙配置教程之访问外网web实验(3) ) 2、SNAT(source network address translation)  源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,俗称IP地址欺骗或伪装 ...
Linux防火墙配置SNAT教程(2)
01-11
 (Linux防火墙配置-SNAT1:Linux防火墙配置SNAT教程(1) ) 2、实验拓扑 3、实验步骤 (1)完成“Linux防火墙配置-SNAT1”实验 (2)为网关增加外网IP地址,为eth1创建5个虚拟接口 [root@lyy 桌面]# gedit /...
Linux防火墙配置入门.pdf
09-06
Linux防火墙配置入门.pdf
Linux防火墙配置实例
01-09
 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。 IPTABLES的设置情况  iptables -L -n  删除已有规则  iptables -F  屏蔽指定ip 有时候我们发现某个ip不停的往服务器发包,这时我们...
Linux防火墙——Firewalld-cmd命令
Parhoia的博客
10-16 2345
Firewalld字符管理工具 1、Firewalld防火墙维护命令 1、防火墙进程操作 systemctl start firewalld [root@localhost ~]# systemctl start firewalld 设置 firewalld 为开机自启动 systemctl status firewalld [root@localhost ~]# systemctl enab...
linux基础防火墙基础题
miss_miss6的博客
04-10 1097
1.INPUT和OUTPUT默认策略为DROP; iptables -P INPUT DROP iptables -P OUTPUT DROP 得改成ACCEPT要不远程不了 2.限制本地主机的web服务器在周二、周五不允许访问;新请求的速率不能超过150个每秒;web服务器包含了demo字符串的页面不允许访问;web服务器仅允许响应报文离开本机; [root@wjh ~]# iptables ...
H3C防火墙-安全策略典型配置举例
MAsunshine的博客
10-21 7914
基于 IP 地址的安全策略配置举例 组网需求 • 某公司内的各部门之间通过 Device 实现互连,该公司的工作时间为每周工作日的 8 点到 18点。 • 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过 HTTP 协议访问财务数据库服务器的 Web 服务,禁止其它部门在任何时间、财务部在非工作时间通过 HTTP 协议访问该服务器的 Web 服务。 组网图 配置步骤 (1) 配置接口 IP 地址、路由保证网络可达,具体配置步骤略 (2) 配置时间段 创建名为 work 的时间段,其时
CE模拟练习题及解答
品尝人生百态
07-23 1451
标题1.设置Selinux 方法: vi /etc/selinux/config 修改为enforcing即可 2.配置防火墙 方法: 查看防火墙帮助的命令 【system1 system2】 man firewalld.richlanguage firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” source addre...
防火墙服务例题
m0_56153480的博客
10-25 168
服务端开启firewalld或者iptables服务,客户端可以通过http://ip/访问到的页面信息为hello,world;客户端可以通过端口2000访问服务器的ssh服务 关闭防火墙和selinux: [root@143 html]# systemctl stop firewalld [root@143 html]# setenforce 0 装包: [root@143 ~]# yum install httpd -y 输入内容: [root@143 ~]# cd /var/www/html/ [
第一章练习题
嘻哈记的运维学习之路
05-07 212
1.用vmware安装一台全新的CentOS7虚拟机,要求磁盘分50G,其中swap给2G,/boot给200M,剩余给/ 2.用nat的网络,并且要把网段改为192.168.88.0/24,其中这台虚拟机的IP要设置为静态,IP地址为192.168.88.119 3.关闭selinux 4.增加80、443、22、3306这几个端口放行的iptables规则,并永久保存(要求使用firewal...
iptables作用
weixin_34126215的博客
12-10 103
23-李雷 1.使得只有192.168.0.x 和192.168.0.y 的机器可以连接您的pop3服务器。但同一网段的其他人不行。 #!/bin/bash for i in net filter mangle do iptables -t $i -F iptables -t $i -X done ip = "192.168.0" iptabl...
华为防火墙基本配置实例
weixin_45457085的博客
10-13 1万+
实验背景 : 一、trust区域:G1/0/0、G1/0/1接口下的设备划分到此区域 1、SW1与SW2做lacp链路聚合; 2、公司trust区域划分两个VLAN分别在交换层做MSTP,实现流量负载分担; 3、trust区域核心路由器层做双DHCP服务器做双备份,运行VRRP实现网关备份; 二、DMZ区域:G1/0/2接口下的设备划分到此区域 1、服务器做目的NAT允许untrust区域访问; 2、允许trust区域→DMZ区域的流量访问; 三、untrust区域:G1/0/3接口下的..
linux 防火墙配置
10-18
好的,关于 Linux 防火墙配置,可以使用 iptables 命令进行配置。下面是一个简单的例子,假设我们要允许 SSH 连接,禁止 HTTP 连接: 1. 允许 SSH 连接 ``` iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 2. 禁止 HTTP 连接 ``` iptables -A INPUT -p tcp --dport 80 -j DROP ``` 这里的 `-A INPUT` 表示添加规则到 INPUT 链,`-p tcp` 表示使用 TCP 协议,`--dport` 表示目标端口,`-j ACCEPT` 表示接受连接,`-j DROP` 表示拒绝连接。 如果需要保存配置,可以使用以下命令: ``` iptables-save > /etc/sysconfig/iptables ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值