iptables面试题
1、详述iptales工作流程以及规则过滤顺序?
- 工作顺序依次为:raw 、mangle 、nat 、filter规则链间的匹配顺序
- 入站数据:PREROUTING 、INPUT
- 出站数据:OUTPUT 、POSTROUTING
- 转发数据:PREROUTING 、FORWARD POSTROUTING
image.png
2、iptables有几个表以及每个表有几个链?
Iptables有四表五链
3、请写出查看iptables当前所有规则的命令。
iptables -L –nv
4、禁止来自10.0.0.188 ip地址访问80端口的请求
iptables -A INPUT -p tcp --dport 80 -j DROP
5、如何使在命令行执行的iptables规则永久生效?
iptables save >>/etc/sysconfig/iptables
6、实现把访问10.0.0.3:80的请求转到172.16.1.17:80
tables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.6:80
7、实现172.16.1.0/24段所有主机通过124.32.54.26外网IP共享上网。
- iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 124.32.54.26
- iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
8、描述tcp 3次握手及四次断开过程?
9、请描述iptables的常见生产应用场景。
端口映射
企业应用场景:
1) 把访问外网IP及端口的请求映射到内网某个服务器及端口(企业内部);
2) 硬件防火墙,把访问LVS/nginx外网VIP及80端口的请求映射到IDC 负载均衡服务器内部IP及端口上(IDC机房的操作) ;
局域网共享上网
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 120.43.61.124
10、企业WEB应用较大并发场景如何优化iptables?
- net.nf_conntrack_max = 25000000
- net.netfilter.nf_conntrack_max = 25000000
- net.netfilter.nf_conntrack_tcp_timeout_established = 180
- net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
- net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
- net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
11、写一个防火墙配置脚本,只允许远程主机访问本机的80端口(奇虎360面试题)
- iptables -A INPUT -p tcp --dport 80 -j accept
- iptables -A INPUT -p tcp -j DROP
12、请描述如何配置一个linux上网网关?
route add -net 192.168.0.0/24 gw 10.0.0.253 dev eth1
13、请描述如何配置一个专业的安全的WEB服务器主机防火墙?
- 先将默认的INPUT链和Forward链关闭,只开放允许进入的端口
- iptables -P OUTPUT ACCEPT
- iptables -P FORWARD DROP
- iptables -P INPUT DROP
14、企业实战题6:请用至少两种方法实现!写一个脚本解决DOS攻击生产案例
提示:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔3分钟。防火墙命令为:iptables -A INPUT -s 10.0.1.10 -j DROP。
- 方法一:
- netstat -na|grep EST|awk -F "[ :]+" ‘{print $6}‘|sort|uniq -c >>/tmp/a.log
- while true
- do
- grep EST a.log|awk -F ‘[ :]+‘ ‘{print $6}‘|sort|uniq -c >/tmp/tmp.log
- exec </tmp/tmp.log
- while read line
- do
- ip=`echo $line|awk "{print $2}"`
- count=`echo $line|awk "{print $1}"`
- if [ $count -gt 100 ] && [ `iptables -L -n|grep $ip|wc -l` -lt 1 ]
- then
- iptables -I INPUT -s $ip -j DROP //-I 将其封杀在iptables显示在第一条
- echo "$line is dropped" >>/tmp/dropip.log
- fi
- done
- sleep 180
- done
- 方法二:netstat -na|grep EST|awk -F "[ :]+" ‘{print $6}‘|awk ‘{S[$1]++}END{for(i in S) print i,S[i]}‘
15、/var/log/messages日志出现kernel: nf_conntrack: table full, dropping packet.请问是什么原因导致的?如何解决?
优化内核参数
- net.nf_conntrack_max = 25000000
- net.netfilter.nf_conntrack_max = 25000000
- net.netfilter.nf_conntrack_tcp_timeout_established = 180
- net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
- net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
- net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
17、压轴上机实战iptables考试题
image.png
image.png
- ptables -t nat -A POSTROUTING -s 10.0.0.253 -j SNAT -o eth0 --to-source 120.43.61.124
- iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- tcpdump ip host 10.0.0.253 and 10.0.0.6 或 tcpdump ip host 10.0.0.253 and 10.0.0.7
- iptables -t nat -A PREROUTING -d 120.43.61.124 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.6:80
小礼物走一走,来简书关注我
作者:王亚飞1992
链接:https://www.jianshu.com/p/8ef3bb10d791
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
iptables面试题相关推荐
- 运维人员20道必会iptables面试题
1.详述iptales工作流程以及规则过滤顺序? iptables过滤的规则顺序是由上至下,若出现相同的匹配规则则遵循由上至下的顺序 2.iptables有几个表以及每个表有几个链? Iptables ...
- 企业运维几百个重点面试题汇总(老男孩)
目录: 第一部分:合格linux运维十五个必会原理知识(老男孩教育出品) http://user.qzone.qq.com/49000448/blog/1426386594 第二部分:合格linu ...
- 如何防御syn flood的一些思路!
厦门-志君同学21期群里疑问? syn flood是否无法防御 刚看到群里同学问问题,我还在讲课,利用间隙简单给大家点思路吧. 老男孩简单答疑如下: 1.先了解什么是SYN Flood? SYN Fl ...
- 老男孩51CTO博客博文列表整理版20170620更新
老男孩51CTO博客博文列表整理版 (本文原自于一道考试题http://oldboy.blog.51cto.com/2561410/1860985) 老男孩教育运维脱产班35期 刘同学 2017-0 ...
- Linux 常用命令合集
常用命令 艿艿:这一小节会非常非常非常长,当做温故知新吧. 另外,面试官也可能会问,你熟悉 Linux 么?你平时使用哪些 Linux 命令.酱紫的连环炮~ 当然,建议重点看下 「性能相关」 小节. ...
- iptables企业面试题集锦
详述iptales工作流程以及规则过滤顺序? iptables采用数据包过滤机制工作的,他会对请求的数据包的包头数据进行分析,并根据预先设定的规则决定是否可以进入主机. 过滤顺序是层层过滤,从上到下, ...
- 这次终于不再为 iptables 犯迷糊了!
点击上方"方志朋",选择"设为星标" 回复"666"获取新整理的面试资料 基础概念 linux 的包过滤功能,即 linux 防火墙,它由 ...
- Linux运维必会的实战编程笔试题(19题)
以下Linux运维笔试面试编程题,汇总整理自老男孩.马哥等培训机构,由运维派根据实战需求,略有调整: 企业面试题1:(生产实战案例):监控MySQL主从同步是否异常,如果异常,则发送短信或者邮件给管理 ...
- Linux 运维笔试题(一)
试题: 1.说出下列服务对应的端口或者端口对应的服务 21 23 25 873 161 111 110 53 123 2049 2.文件atime,ctime,mtime的区别,怎么 ...
最新文章
- 全球10大SSL证书品牌对比
- Hibernate学习4—关联关系一对多映射2
- W600 PWM 捕获功能使用示例程序
- 使用IDEA在SpringBoot项目中连接数据库
- 进程隐藏与进程保护(SSDT Hook 实现)(三)
- Error encountered when performing Introspect schema xxx 错误的解决方法
- python在职场的用处大吗_Python未来发展怎么样,未来办公是否都需要精通Python?...
- linux的常用操作——用户的添加、删除和查看
- python的特点及应用-python有什么特性和劣势?老男孩python入门
- 不用正则表达式,用javascript从零写一个模板引擎(一)
- 个性化推荐中的数据稀疏性
- 比芒果广告还要专业的广告管理系统:Keymob
- 航空公司客户价值分析
- Centos 安装python
- 统计不及格人数(PTA-武理-C实验)
- 从vc6.0转到vs2005 2008等出现的错误详解(HYD整理)
- 购买电脑时,关于CPU和显卡
- pdf2html java_pdf2HtmlEX的使用
- iOS从相册选择视频和保存视频到相册
- ionic ActionSheet(上拉菜单)
热门文章
- Android 反射○
- 关于VIDEO.JS播放器控制栏播放按钮点击问题
- 消费者厌恶手机企业的高定价,苹果和国产手机销量都显著下滑
- #后疫情时代的新思考#风险之中,我们更应该看到责任与机遇丨数据猿公益策划...
- 2018年20种最佳前端Web开发工具
- 独孤思维:自动得3w,这样赚钱颠覆你的认知
- 人工智能知识全面讲解: 什么问题适合用机器学习方法解决?
- 基于springboot的手机点餐管理系统
- 【2018/10/16测试T3】长者
- 摩根大通CEO吉米·戴蒙质疑比特币2100万枚上限的道理和错误