2018-05-05 13:42:58
要求:大家務必會筆答,會熟練口頭表達,面試完敗其他競爭的面試者
1、詳述iptales工作流程以及規則過濾順序?
iptables 是采用數據包過濾機制工作的,所以它會對請求的數據包的包頭數據進行分析,並根據我們預先設定的規則來匹配進行相關操作。
當防火牆收到數據包時:
1.防火牆是一層一層第過濾的,規則順序從上到下,從前到后進行過濾。
2.如果匹配上規則(ACCEPT,DROP)就不會再向下匹配了。
3.如果匹配規則沒有明確表明是阻止或者是通過這個數據包,也就是沒有匹配上規則,就會繼續向下執行下一跳規則。
4.如果以上所有規則都不能匹配上,最后會執行默認規則。
2、iptables有幾個表以及每個表有幾個鏈?
3、iptables的幾個表以及每個表對應鏈的作用,對應企業應用場景?
iptables總的結構
iptables 其實是多個表(table)的容器,每個表里包含不同的鏈(chain),鏈里邊定義了不同的規則(policy),我們通過定義不同的規則,來控制數據包在防火牆的進出。
iptables里的三大表
Filter 是默認的主機防火牆,過濾流入流出主機的數據包。里邊包含INPUT,OUTPUT,FOWARD三個鏈
INPUT 過濾進入主機的數據包
OUTPUT 處理從本機發出去的數據包
FOWARD 處理流經本主機的數據包,與NAT有關系
Filter表是企業實現防火牆功能的重要手段
NAT 負責網絡地址轉換(來源於目的地址的IP與端口的轉換),一般用於局域網的共享上網,與網絡交換機acl類似,包含OUTPUT,PREROUTING,POSTROUTING三條鏈
OUTPUT 改變主機發出去的數據包的目標地址
PREROUTING 數據包到達防火牆時進行分路由判斷之前執行的規則,改變數據包的目的地址,目的端口
POSTROUTING 數據包離開防火牆時進行分路由判斷之前執行的規則,改變數據包的源的地址,源的端口
Mangle 在企業中應用比較少
4、畫圖講解iptables包過濾經過不同表和鏈簡易流程圖並闡述。
1.數據包在准備進入iptables之前,NAT表的prerouting鏈會對數據包的目標地址進行IP或端口的改寫、映射到不同IP或端口上。
2.此時數據包繼續前行,有兩種情況:
2.1數據包進入iptables的主機,經過FILTER表的INPUT鏈,進過NAT表的OUTPUT鏈與FILTER表的OUTPUT鏈流出,一般情況下,只需要控制FILTER表的INPUT鏈
2.2數據包流經主機,例如用來做路由的時候,數據包流經FILETER表的FORWARD鏈
2.3所有數據包最后都經由NAT表的POSTROUTING流出,對源地址IP或端口的改寫。
5、請寫出查看iptables當前所有規則的命令。
iptables -nL (默認查看filter表)
iptables -nL -t nat (插卡NAT表的規則)
6、禁止來自10.0.0.188 ip地址訪問80端口的請求
iptables -A INPUT -p tcp -s 10.0.0.188 --deport 80 -j DROP
7、如何使在命令行執行的iptables規則永久生效?
方法1:
/etc/init.d/iptables save
方法2:
iptables-save >/etc/sysconfig/iptables
8、實現把訪問10.0.0.3:80的請求轉到172.16.1.17:80
在10.0.0.3主機上做IP映射,具體命令:
iptables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.17:80
9、實現172.16.1.0/24段所有主機通過124.32.54.26外網IP共享上網。
在124.32.54.26的主機上配置NAT表的POSTROUTING鏈
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 124.32.54.26
在172網段的每一台主機,都需要配置默認網關為124.32.54.26主機的同一網段的網卡的IP
10、描述tcp 3次握手及四次斷開過程?
(課外參考:http://user.qzone.qq.com/49000448/blog/1426987479)
11.詳細描述HTTP工作原理?
用戶訪問流程
DNS解析原理
tcp三次握手,四次斷開
http的請求報文,響應報文的解釋
常見狀態碼
再說一下其中架構
12.請描述iptables的常見生產應用場景。
1 ) 局 域 網 共 享 上 網 ( 適 合 做 企 業 內 部 局 域 網 上 網 網 關 , 以 及 IDC 機 房 內 網 的 上 網 網 關 )
(nat POSTROUTING)
2 ) 服 務 器 防 火 功 能 ( 適 合 IDC機 房 具 有 外 網 IP 的 服 務 器 )( 主 要 是 filter INPUT 的 控 制 )
3 ) 把 外 部 IP 及 端 囗 映 射 到 局 域 網 內 部 ( 可 以 一 對 一 IP 映 射 , 也 可 以 針 對 某 一 個 端 囗 映
射 )。 也 可 能 是 I DC 把 網 站 的 外 網 vip及 網 站 端 囗 映 射 到 負 載 均 衡 器 上 ( 硬 件 防 火 牆 ) 。 (nat
PREROUTING)
4 ) 辦 公 路 由 器 + 網 關功能 (zebra 路 ±+iptables 過濾及 NAT+squid 正 向 透 明 代 理
80+ntop/iftop/iptraf 流 量 查 看 + tc 流 量 控 制 限 速
5 ) 郵 件 的 網 關
13、請描述下面iptables命令的作用
iptables -N syn-flood
iptables -A INPUT -i eth0 -syn -j syn-flood
iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN
iptables -A syn-flood -j DROP
防止SYN攻擊的防火牆策略
14、企業WEB應用較大並發場景如何優化iptables?
把連接跟蹤表調大,
把超時時間調小,
pv3000w左右,並發1w~2w,關掉iptables或者選擇硬件防火牆。
(二)企業運維經驗面試題:
15、寫一個防火牆配置腳本,只允許遠程主機訪問本機的80端口(奇虎360面試題)
(http://user.qzone.qq.com/49000448/blog/1429755081)
iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT
16、請描述如何配置一個linux上網網關?
linux網關的內核轉發要打卡
17、請描述如何配置一個專業的安全的WEB服務器主機防火牆?
默認規則拒絕,用什么開什么
18、企業實戰題6:請用至少兩種方法實現!
寫一個腳本解決DOS攻擊生產案例
提示:根據web日志或者或者網絡連接數,監控當某個IP並發連接數或者短時內PV達到100,即調用防火牆命令封掉對應的IP,監控頻率每隔3分鍾。防火牆命令為:iptables -A INPUT -s 10.0.1.10 -j DROP。
(此題來自老男孩教育SHELL編程必會考試題之一)
http://www.cnblogs.com/Richard-Liang/p/8991570.html
19、/var/log/messages日志出現kernel: nf_conntrack: table full, dropping packet.請問是什么原因導致的?如何解決?
原因,連接中轉池滿了,需要調大,超時調小
需要內核調優
20、壓軸上機實戰iptables考試題