【防火墙】的面试题
【防火墙】面试题
- iptables的面试问答:https://www.cnblogs.com/wajika/p/6382956.html
- 20道必会iptables面试题:https://www.cnblogs.com/wajika/p/6382853.html
- iptables四个表与五个链间的处理关系:https://www.bbsmax.com/A/kmzLBxAG5G/
- CentOS7-IP代理转发功能的配置:https://blog.csdn.net/drxRose/article/details/88797494
1.选择
1.1 rule permit ip source 210.78.1.1 0.0.255.255 destination202.38.5.2 0.0.0.0 的含义是(B)
资料连接:https://bbs.51cto.com/thread-889882-1.html
A.允许主机210.78.1.1访问主机202.38.5.2
B.允许210.78.0.0的网络访问202.38.0.0的网络
C.允许主机202.38.5.2 访问网络210.78.0.0
D.允许210.78.0.0的网络访问主机202.38.5.2
1.2在防火墙上允许tcp和udp端口21、 23、 25访问内网,下列那张协议包可以进来 (多选)A_C_D
A.SMTP
B.STP
C.FTP
D.Telnet
E.HTTP
F.POP3
1.3 以下不属于防火墙能够实现的功能是(B )
A、网络地址转换
B、差错控制
C、数据包过滤
D、数据转发
1.4 哪个不属于iptables的表(D)
filter
nat
mangle
INPUT
1.5 以下对防火墙的描述正确的是:(B)
完全阻隔了网络
能在物理层隔绝网络
仅允许合法的通讯
无法阻隔黑客的侵入
2 填空
2.1 防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止破坏性侵入(内部网络)
2.2 在centos7下,我想关闭掉防火墙,应该用命令systemctl stop firewalld来关闭掉。如果以后开机都不想它启动起来,执行___systemctl disable firewalld____命令
2.3 在Centos7 配置ip转发需要在/etc/sysctl.conf里加入net.ipv4.ip_forward=1执行sysctl -p命令后生效
3 简答
iptables save //保存规则 systemctl restart iptables //重启iptables服务以便生效
相关链接:https://www.cnblogs.com/wajika/p/6382853.html
filter表:
INPUT 作用:用于发送到本地套接字的数据包。
FORWARD 作用:对于正在通过该框路由的数据包。
OUTPUT 作用:用于本地生成的数据包。
nat表:
PREROUTING 作用:因为他们一进来就改变了包
OUTPUT 作用:用于在路由之前更改本地划分的数据包。
POSTROUTING 作用:改变包,因为它们即将离开
3.1 防火墙策略,开放服务器80端口,禁止来自10.0.0.188的地址访问服务器80端口的请求。
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -d 10.0.0.188 --dport 80 -j DROP
3.2 防火墙策略,实现把访问10.0.0.3:80的请求转到172.16.1.17:8080上。
iptables -t nat -A PREROUTING -d 10.00.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.17:8080
3.3 防火墙策略配置说明。阐述出10.10.10.1访问192.168.1.1所有端口策略需要的配置过程
3.4 iptables使用的表有哪些?请简要的描述iptables使用的表以及它们所支持的链。
Filter表、Nat表、Mangle表、Raw表 Filter表 : Filter表是iptables中使用的默认表,它用来过滤网络包。如果没有定义任何规则,Filter表则被当作默认的表,并且基于它来过滤。支持的链有INPUT链,OUTPUT链,FORWARD链。 Nat表 : Nat表主要用于网络地址转换。根据表中的每一条规则修改网络包的IP地址。流中的包仅遍历一遍Nat表。例如,如果一个通过某个接口的包被修饰(修改了IP地址),该流中其余的包将不再遍历这个表。通常不建议在这个表中进行过滤,由NAT表支持的链称为PREROUTING链,POSTROUTING链和OUTPUT链。 Mangle表 : 正如它的名字一样,这个表用于校正网络包。它用来对特殊的包进行修改。它能够修改不同包的头部和内容。Mangle表不能用于地址伪装。支持的链包括PREROUTING链,OUTPUT链,Forward链,Input链和POSTROUTING链。 Raw表 : Raw表在我们想要配置之前被豁免的包时被使用。它支持PREROUTING链和OUTPUT链。
3.5 屏蔽192.168.1.5访问本机dns服务端口:
iptables -A INPUT -s 192.168.1.5 -j DROP
3.6 允许10.1.1.0/24访问本机的udp 8888 9999端口
相关链接:https://blog.csdn.net/zhaoyangjian724/article/details/52572632
iptables -A INPUT -p udp -s 10.1.1.0/24 -m multiport ! --dport 8888,9999 -j DROP
3.7 iptables禁止10.10.10.1访问本地80端口
iptables -A INPUT -p tcp -s 10.10.10.1 --dport 80 -j DROP
3.8 如何利用iptables屏蔽某个IP对80端口的访问
iptables -A INPUT -p tcp -s #屏蔽的IP# --dport 80 -j DROP
3.9 写出iptables四表五链,按照优先级排序
iptables四个表与五个链间的处理关系:https://www.bbsmax.com/A/kmzLBxAG5G/
默认表是filter(没有指定表的时候就是filter表) iptables的四表优先级:raw--->mangle--->nat--->filte filter:一般的过滤功能 nat:用于nat功能(端口映射,地址映射等) mangle:用于对特定数据包的修改 raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能 iptables的五链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING PREROUTING:数据包进入路由表之前 INPUT:通过路由表后目的地为本机 FORWARDING:通过路由表后,目的地不为本机 OUTPUT:由本机产生,向外转发 POSTROUTIONG:发送到网卡接口之前
3.10如何通过iptables将本地80端口的请求转发到8080端口,当前主机IP为192.168.2.1
3.11请写一条命令,只允许80端口,其他端口都拒绝,eth1网卡ip为192.168.1.12
3.12限制连接到192.168.100.100:8080 后端服务最大1000
3.13请简述防火墙的基本功能和特点
3.14内网环境中,A(10.0.0.1)机与B(10.0.0.2)机互通,现在需要在A机上简历安全策略,禁止B机访问A机的SSH服务(22端口)有几种方法?如何操作?
3.15service iptables stop 与 iptables -F 有何区别?
3.16Iptables封禁eth0网卡与192.168.1.1通讯的所有数据包
3.17Iptables禁止所有到本机(eth0:10.10.10.200)22端口的TCP访问
3.18如何禁止192.168.500.2访问本机ssh端口?解释这条规则:/sbin/iptables -t nat -A PREROUTING -d 192.168.20.99/32 -p udp -m udp --dport 99 -j DNAT --to-destination 192.168.20.11
3.19有一台主机内网IP:10.4.82.200,公网IP:118.186.111.121,现欲使10.4.82.0/24网段,(该网段默认网关为10.4.82.254),使用10.4.82.200作为跳板机出往,请给出配置方法
3.20配置跳板机主机的某个内核参数,并使其生效
3.21配置跳板机的iptables防火墙规则
3.22把10.10.0.0 网段流出的数据的原地址修改为66.66.66.66
3.23本机有两张网卡,分别为eth0和eth1,请写出仅允许从eth0访问本机web(80)服务的iptables规则,允许eth1所有访问