【防火墻】面試題

• iptables的面試問答：https://www.cnblogs.com/wajika/p/6382956.html
• 20道必會iptables面試題：https://www.cnblogs.com/wajika/p/6382853.html
• iptables四個表與五個鏈間的處理關(guān)系:https://www.bbsmax.com/A/kmzLBxAG5G/
• CentOS7-IP代理轉(zhuǎn)發(fā)功能的配置:https://blog.csdn.net/drxRose/article/details/88797494

1.選擇

1.1 rule permit ip source 210.78.1.1 0.0.255.255 destination202.38.5.2 0.0.0.0 的含義是（B）

資料連接：https://bbs.51cto.com/thread-889882-1.html

A.允許主機210.78.1.1訪問主機202.38.5.2

B.允許210.78.0.0的網(wǎng)絡(luò)訪問202.38.0.0的網(wǎng)絡(luò)

C.允許主機202.38.5.2 訪問網(wǎng)絡(luò)210.78.0.0

D.允許210.78.0.0的網(wǎng)絡(luò)訪問主機202.38.5.2

1.2在防火墻上允許tcp和udp端口21、 23、 25訪問內(nèi)網(wǎng)，下列那張協(xié)議包可以進來 （多選）A_C_D

A.SMTP
B.STP
C.FTP
D.Telnet
E.HTTP
F.POP3

1.3 以下不屬于防火墻能夠?qū)崿F(xiàn)的功能是(B )

A、網(wǎng)絡(luò)地址轉(zhuǎn)換

B、差錯控制

C、數(shù)據(jù)包過濾

D、數(shù)據(jù)轉(zhuǎn)發(fā)

1.4 哪個不屬于iptables的表(D)

filter

nat

mangle

INPUT

1.5 以下對防火墻的描述正確的是：（B）

完全阻隔了網(wǎng)絡(luò)

能在物理層隔絕網(wǎng)絡(luò)

僅允許合法的通訊

無法阻隔黑客的侵入

2 填空

2.1 防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止破壞性侵入（內(nèi)部網(wǎng)絡(luò)）

2.2 在centos7下，我想關(guān)閉掉防火墻，應(yīng)該用命令systemctl stop firewalld來關(guān)閉掉。如果以后開機都不想它啟動起來，執(zhí)行___systemctl disable firewalld____命令

2.3 在Centos7 配置ip轉(zhuǎn)發(fā)需要在/etc/sysctl.conf里加入net.ipv4.ip_forward=1執(zhí)行sysctl -p命令后生效

相關(guān)鏈接：https://blog.csdn.net/drxRose/article/details/88797494

3 簡答

iptables save //保存規(guī)則
systemctl restart iptables    //重啟iptables服務(wù)以便生效

相關(guān)鏈接：https://www.cnblogs.com/wajika/p/6382853.html

filter表：
?INPUT   作用:用于發(fā)送到本地套接字的數(shù)據(jù)包。
?FORWARD 作用:對于正在通過該框路由的數(shù)據(jù)包。
?OUTPUT  作用:用于本地生成的數(shù)據(jù)包。

nat表：
?PREROUTING  作用:因為他們一進來就改變了包
?OUTPUT      作用:用于在路由之前更改本地劃分的數(shù)據(jù)包。
?POSTROUTING 作用:改變包，因為它們即將離開 

3.1 防火墻策略，開放服務(wù)器80端口，禁止來自10.0.0.188的地址訪問服務(wù)器80端口的請求。

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -d 10.0.0.188 --dport 80 -j DROP

3.2 防火墻策略，實現(xiàn)把訪問10.0.0.3:80的請求轉(zhuǎn)到172.16.1.17:8080上。

iptables -t nat -A PREROUTING -d 10.00.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.17:8080

3.3 防火墻策略配置說明。闡述出10.10.10.1訪問192.168.1.1所有端口策略需要的配置過程

3.4 iptables使用的表有哪些？請簡要的描述iptables使用的表以及它們所支持的鏈。

Filter表、Nat表、Mangle表、Raw表

Filter表 : Filter表是iptables中使用的默認(rèn)表，它用來過濾網(wǎng)絡(luò)包。如果沒有定義任何規(guī)則，F(xiàn)ilter表則被當(dāng)作默認(rèn)的表，并且基于它來過濾。支持的鏈有?INPUT鏈，?OUTPUT鏈，?FORWARD鏈。

Nat表 : Nat表主要用于網(wǎng)絡(luò)地址轉(zhuǎn)換。根據(jù)表中的每一條規(guī)則修改網(wǎng)絡(luò)包的IP地址。流中的包僅遍歷一遍Nat表。例如，如果一個通過某個接口的包被修飾（修改了IP地址），該流中其余的包將不再遍歷這個表。通常不建議在這個表中進行過濾，由NAT表支持的鏈稱為?PREROUTING鏈，?POSTROUTING鏈和?OUTPUT鏈。

Mangle表 : 正如它的名字一樣，這個表用于校正網(wǎng)絡(luò)包。它用來對特殊的包進行修改。它能夠修改不同包的頭部和內(nèi)容。Mangle表不能用于地址偽裝。支持的鏈包括?PREROUTING鏈，?OUTPUT鏈，?Forward鏈，?Input鏈和?POSTROUTING鏈。

Raw表 : Raw表在我們想要配置之前被豁免的包時被使用。它支持?PREROUTING鏈和?OUTPUT鏈。

3.5 屏蔽192.168.1.5訪問本機dns服務(wù)端口：

iptables -A INPUT -s 192.168.1.5 -j DROP

3.6 允許10.1.1.0/24訪問本機的udp 8888 9999端口

相關(guān)鏈接：https://blog.csdn.net/zhaoyangjian724/article/details/52572632

iptables -A INPUT -p udp -s 10.1.1.0/24 -m multiport ! --dport 8888,9999 -j DROP 

3.7 iptables禁止10.10.10.1訪問本地80端口

iptables -A INPUT -p tcp -s 10.10.10.1 --dport 80 -j DROP

3.8 如何利用iptables屏蔽某個IP對80端口的訪問

iptables -A INPUT -p tcp -s #屏蔽的IP# --dport 80 -j DROP

3.9 寫出iptables四表五鏈，按照優(yōu)先級排序

iptables四個表與五個鏈間的處理關(guān)系:https://www.bbsmax.com/A/kmzLBxAG5G/

默認(rèn)表是filter（沒有指定表的時候就是filter表）

iptables的四表優(yōu)先級：raw--->mangle--->nat--->filte
??filter：一般的過濾功能
??nat:用于nat功能（端口映射，地址映射等）
??mangle:用于對特定數(shù)據(jù)包的修改
??raw:有限級最高，設(shè)置raw時一般是為了不再讓iptables做數(shù)據(jù)包的鏈接跟蹤處理，提高性能

iptables的五鏈：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
??PREROUTING:數(shù)據(jù)包進入路由表之前
??INPUT:通過路由表后目的地為本機
??FORWARDING:通過路由表后，目的地不為本機
??OUTPUT:由本機產(chǎn)生，向外轉(zhuǎn)發(fā)
??POSTROUTIONG:發(fā)送到網(wǎng)卡接口之前

3.10如何通過iptables將本地80端口的請求轉(zhuǎn)發(fā)到8080端口，當(dāng)前主機IP為192.168.2.1

3.11請寫一條命令，只允許80端口，其他端口都拒絕，eth1網(wǎng)卡ip為192.168.1.12

3.12限制連接到192.168.100.100:8080 后端服務(wù)最大1000

3.13請簡述防火墻的基本功能和特點

3.14內(nèi)網(wǎng)環(huán)境中，A（10.0.0.1）機與B（10.0.0.2）機互通，現(xiàn)在需要在A機上簡歷安全策略，禁止B機訪問A機的SSH服務(wù)（22端口）有幾種方法？如何操作？

3.15service iptables stop 與 iptables -F 有何區(qū)別？

3.16Iptables封禁eth0網(wǎng)卡與192.168.1.1通訊的所有數(shù)據(jù)包

3.17Iptables禁止所有到本機（eth0:10.10.10.200）22端口的TCP訪問

3.18如何禁止192.168.500.2訪問本機ssh端口？解釋這條規(guī)則：/sbin/iptables -t nat -A PREROUTING -d 192.168.20.99/32 -p udp -m udp --dport 99 -j DNAT --to-destination 192.168.20.11

3.19有一臺主機內(nèi)網(wǎng)IP：10.4.82.200，公網(wǎng)IP：118.186.111.121，現(xiàn)欲使10.4.82.0/24網(wǎng)段，（該網(wǎng)段默認(rèn)網(wǎng)關(guān)為10.4.82.254），使用10.4.82.200作為跳板機出往，請給出配置方法

3.20配置跳板機主機的某個內(nèi)核參數(shù)，并使其生效

3.21配置跳板機的iptables防火墻規(guī)則

3.22把10.10.0.0 網(wǎng)段流出的數(shù)據(jù)的原地址修改為66.66.66.66

3.23本機有兩張網(wǎng)卡，分別為eth0和eth1，請寫出僅允許從eth0訪問本機web（80）服務(wù)的iptables規(guī)則，允許eth1所有訪問