日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
13個關(guān)于Linux防火墻’iptables’的面試問答

Nishita Agarwal是Tecmint的用戶,她將分享關(guān)于她剛剛經(jīng)歷的一家公司(印度的一家私人公司Pune)的面試經(jīng)驗。在面試中她被問及許多不同的問題, 但她是iptables方面的專家,因此她想分享這些關(guān)于iptables的問題和相應的答案給那些以后可能會進行相關(guān)面試的人。

目前成都創(chuàng)新互聯(lián)已為1000+的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務器托管綿陽服務器托管、企業(yè)網(wǎng)站設(shè)計、柳城網(wǎng)站維護等服務,公司將堅持客戶導向、應用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。

所有的問題和相應的答案都基于Nishita Agarwal的記憶并經(jīng)過了重寫。

“嗨,朋友!我叫Nishita Agarwal。我已經(jīng)取得了理學學士學位,我的專業(yè)集中在UNIX和它的變種(BSD,Linux)。它們一直深深的吸引著我。我在存儲方面有1年多的經(jīng)驗。我正在尋求職業(yè)上的變化,并將供職于印度的Pune公司?!?/p>

下面是我在面試中被問到的問題的集合。我已經(jīng)把我記憶中有關(guān)iptables的問題和它們的答案記錄了下來。希望這會對您未來的面試有所幫助。

1. 你聽說過Linux下面的iptables和Firewalld么?知不知道它們是什么,是用來干什么的?

答案: iptables和Firewalld我都知道,并且我已經(jīng)使用iptables好一段時間了。iptables主要由C語言寫成,并且以GNU GPL許可證發(fā)布。它是從系統(tǒng)管理員的角度寫的,***的穩(wěn)定版是iptables 1.4.21。iptables通常被用作類UNIX系統(tǒng)中的防火墻,更準確的說,可以稱為iptables/netfilter。管理員通過終端 /GUI工具與iptables打交道,來添加和定義防火墻規(guī)則到預定義的表中。Netfilter是內(nèi)核中的一個模塊,它執(zhí)行***濾的任務。

Firewalld是RHEL/CentOS 7(也許還有其他發(fā)行版,但我不太清楚)中***的過濾規(guī)則的實現(xiàn)。它已經(jīng)取代了iptables接口,并與netfilter相連接。

2. 你用過一些iptables的GUI或命令行工具么?

答案: 雖然我既用過GUI工具,比如與Webmin結(jié)合的Shorewall;以及直接通過終端訪問iptables,但我必須承認通過Linux終端直接訪問 iptables能給予用戶更高級的靈活性、以及對其背后工作更好的理解的能力。GUI適合初級管理員,而終端適合有經(jīng)驗的管理員。

3. 那么iptables和firewalld的基本區(qū)別是什么呢?

答案: iptables和firewalld都有著同樣的目的(***濾),但它們使用不同的方式。iptables與firewalld不同,在每次發(fā)生更改時 都刷新整個規(guī)則集。通常iptables配置文件位于‘/etc/sysconfig/iptables‘,而firewalld的配置文件位于‘ /etc/firewalld/‘。firewalld的配置文件是一組XML文件。以XML為基礎(chǔ)進行配置的firewalld比iptables的配 置更加容易,但是兩者都可以完成同樣的任務。例如,firewalld可以在自己的命令行界面以及基于XML的配置文件下使用iptables。

4. 如果有機會的話,你會在你所有的服務器上用firewalld替換iptables么?

答案: 我對iptables很熟悉,它也工作的很好。如果沒有任何需求需要firewalld的動態(tài)特性,那么沒有理由把所有的配置都從iptables移動到 firewalld。通常情況下,目前為止,我還沒有看到iptables造成什么麻煩。IT技術(shù)的通用準則也說道“為什么要修一件沒有壞的東西呢?”。 上面是我自己的想法,但如果組織愿意用firewalld替換iptables的話,我不介意。

5. 你看上去對iptables很有信心,巧的是,我們的服務器也在使用iptables。

iptables使用的表有哪些?請簡要的描述iptables使用的表以及它們所支持的鏈。

答案: 謝謝您的贊賞。至于您問的問題,iptables使用的表有四個,它們是:

  • Nat 表

  • Mangle 表

  • Filter 表

  • Raw 表

Nat表 : Nat表主要用于網(wǎng)絡(luò)地址轉(zhuǎn)換。根據(jù)表中的每一條規(guī)則修改網(wǎng)絡(luò)包的IP地址。流中的包僅遍歷一遍Nat表。例如,如果一個通過某個接口的包被修飾(修改了 IP地址),該流中其余的包將不再遍歷這個表。通常不建議在這個表中進行過濾,由NAT表支持的鏈稱為PREROUTING 鏈,POSTROUTING 鏈和OUTPUT 鏈。

Mangle表 : 正如它的名字一樣,這個表用于校正網(wǎng)絡(luò)包。它用來對特殊的包進行修改。它能夠修改不同包的頭部和內(nèi)容。Mangle表不能用于地址偽裝。支持的鏈包括 PREROUTING 鏈,OUTPUT 鏈,F(xiàn)orward 鏈,Input 鏈和POSTROUTING 鏈。

Filter表 : Filter表是iptables中使用的默認表,它用來過濾網(wǎng)絡(luò)包。如果沒有定義任何規(guī)則,F(xiàn)ilter表則被當作默認的表,并且基于它來過濾。支持的鏈有INPUT 鏈,OUTPUT 鏈,F(xiàn)ORWARD 鏈。

Raw表 : Raw表在我們想要配置之前被豁免的包時被使用。它支持PREROUTING 鏈和OUTPUT 鏈。

6. 簡要談談什么是iptables中的目標值(能被指定為目標),他們有什么用

答案: 下面是在iptables中可以指定為目標的值:

  • ACCEPT : 接受包

  • QUEUE : 將包傳遞到用戶空間 (應用程序和驅(qū)動所在的地方)

  • DROP : 丟棄包

  • RETURN : 將控制權(quán)交回調(diào)用的鏈并且為當前鏈中的包停止執(zhí)行下一調(diào)用規(guī)則

7. 讓我們來談談iptables技術(shù)方面的東西,我的意思是說實際使用方面

你怎么檢測在CentOS中安裝iptables時需要的iptables的rpm?

答案: iptables已經(jīng)被默認安裝在CentOS中,我們不需要單獨安裝它。但可以這樣檢測rpm:

# rpm -qa iptables

iptables-1.4.21-13.el7.x86_64

如果您需要安裝它,您可以用yum來安裝。

# yum install iptables-services

8. 怎樣檢測并且確保iptables服務正在運行?

答案: 您可以在終端中運行下面的命令來檢測iptables的狀態(tài)。

# service status iptables           [On CentOS 6/5]
# systemctl status iptables         [On CentOS 7]

如果iptables沒有在運行,可以使用下面的語句

---------------- 在CentOS 6/5下 ----------------
# chkconfig --level 35 iptables on
# service iptables start

---------------- 在CentOS 7下 ----------------
# systemctl enable iptables
# systemctl start iptables

我們還可以檢測iptables的模塊是否被加載:

# lsmod | grep ip_tables

9. 你怎么檢查iptables中當前定義的規(guī)則呢?

答案: 當前的規(guī)則可以簡單的用下面的命令查看:

 
 
    
  
  
  1. # iptables -L
    2. 
  
  
  2. 
  
  
  3. 示例輸出
    4. 
  
  
  4. 
  
  
  5. Chain INPUT (policy ACCEPT)
    6. 
  
  
  6. target     prot opt source               destination        
    7. 
  
  
  7. ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
    8. 
  
  
  8. ACCEPT     icmp --  anywhere             anywhere           
    9. 
  
  
  9. ACCEPT     all  --  anywhere             anywhere           
    10. 
  
  
  10. ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
    11. 
  
  
  11. REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
    12. 
  
  
  12. 
  
  
  13. Chain FORWARD (policy ACCEPT)
    14. 
  
  
  14. target     prot opt source               destination        
    15. 
  
  
  15. REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
    16. 
  
  
  16. 
  
  
  17. Chain OUTPUT (policy ACCEPT)
    18. 
  
  
  18. target     prot opt source               destination
    19.

10. 你怎樣刷新所有的iptables規(guī)則或者特定的鏈呢?

答案: 您可以使用下面的命令來刷新一個特定的鏈。

# iptables --flush OUTPUT

要刷新所有的規(guī)則,可以用:

# iptables --flush

11. 請在iptables中添加一條規(guī)則,接受所有從一個信任的IP地址(例如,192.168.0.7)過來的包。

答案: 上面的場景可以通過運行下面的命令來完成。

# iptables -A INPUT -s 192.168.0.7 -j ACCEPT

我們還可以在源IP中使用標準的斜線和子網(wǎng)掩碼:

# iptables -A INPUT -s 192.168.0.7/24 -j ACCEPT
# iptables -A INPUT -s 192.168.0.7/255.255.255.0 -j ACCEPT

12. 怎樣在iptables中添加規(guī)則以ACCEPT,REJECT,DENY和DROP ssh的服務?

答案: 但愿ssh運行在22端口,那也是ssh的默認端口,我們可以在iptables中添加規(guī)則來ACCEPT ssh的tcp包(在22號端口上)。

 
 
    
  
  
  1. # iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT
    2. 
  
  
  2. 
  
  
  3. REJECT ssh服務(22號端口)的tcp包。
    4. 
  
  
  4. 
  
  
  5. # iptables -A INPUT -s -p tcp --dport 22 -j REJECT
    6. 
  
  
  6. 
  
  
  7. DENY ssh服務(22號端口)的tcp包。
    8. 
  
  
  8. 
  
  
  9. # iptables -A INPUT -s -p tcp --dport 22 -j DENY
    10. 
  
  
  10. 
  
  
  11. DROP ssh服務(22號端口)的tcp包。
    12. 
  
  
  12. 
  
  
  13. # iptables -A INPUT -s -p tcp --dport 22 -j DROP
    14.

13. 讓我給你另一個場景,假如有一臺電腦的本地IP地址是192.168.0.6。你需要封鎖在21、22、23和80號端口上的連接,你會怎么做?

答案: 這時,我所需要的就是在iptables中使用‘multiport‘選項,并將要封鎖的端口號跟在它后面。上面的場景可以用下面的一條語句搞定:

# iptables -A INPUT -s 192.168.0.6 -p tcp -m multiport --dport 22,23,80,8080 -j DROP

可以用下面的語句查看寫入的規(guī)則。

 
 
    
  
  
  1. # iptables -L
    2. 
  
  
  2. 
  
  
  3. Chain INPUT (policy ACCEPT)
    4. 
  
  
  4. target     prot opt source               destination        
    5. 
  
  
  5. ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
    6. 
  
  
  6. ACCEPT     icmp --  anywhere             anywhere           
    7. 
  
  
  7. ACCEPT     all  --  anywhere             anywhere           
    8. 
  
  
  8. ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
    9. 
  
  
  9. REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
    10. 
  
  
  10. DROP       tcp  --  192.168.0.6          anywhere             multiport dports ssh,telnet,http,webcache
    11. 
  
  
  11. 
  
  
  12. Chain FORWARD (policy ACCEPT)
    13. 
  
  
  13. target     prot opt source               destination        
    14. 
  
  
  14. REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
    15. 
  
  
  15. 
  
  
  16. Chain OUTPUT (policy ACCEPT)
    17. 
  
  
  17. target     prot opt source               destination
    18.

面試官: 好了,我問的就是這些。你是一個很有價值的雇員,我們不會錯過你的。我將會向HR推薦你的名字。如果你有什么問題,請問我。

作為一個候選人我不愿不斷的問將來要做的項目的事以及公司里其他的事,這樣會打斷愉快的對話。更不用說HR輪會不會比較難,總之,我獲得了機會。

同時我要感謝Avishek和Ravi(我的朋友)花時間幫我整理我的面試。

朋友!如果您有過類似的面試,并且愿意與數(shù)百萬Tecmint讀者一起分享您的面試經(jīng)歷,請將您的問題和答案發(fā)送到admin@tecmint.com。

謝謝!保持聯(lián)系。如果我能更好的回答我上面的問題的話,請記得告訴我。


名稱欄目:13個關(guān)于Linux防火墻’iptables’的面試問答
鏈接分享:http://m.5511xx.com/article/djcghdj.html