1.详述iptables工作流程以及规则过滤顺序?
iptables是采用数据包过滤机制工作的,所以他会对请求的数据包的包头数据进行分析,并根据我们预先设定的规则来匹配进行相关操作。
当防火墙收到数据包时:
1.防火墙是一层一层的过滤的,规则顺序从上到下,从前到后进行归路
2.如果匹配上规则(ACCEPT,DROP)就不会再向下匹配了。
3.如果匹配规则没有明确表明是阻止或者是通过这个数据包,也就是没有匹配上规则,就会继续向下执行下一跳规则。
4.如果以上所有规则都不能匹配上,最后会执行默认规则。
2、iptables有几个表以及每个表有几个链?
表和链(四表五链)
1.filter (过滤) 进行包过滤处理的一张表
2.nat (映射) 对数据地址信息进行转换/数据包端口信息进行转换
实现内网用户访问外网
实现外网用户访问内网
3.mangle (不常用)
对数据包信息进行标记
4.raw(不常用)
将数据包一些标记信息进行拆解
3、iptables的几个表以及每个表对应链的作用,对应企业应用场景?
iptables总的结构
iptables 其实是多个表(table)的容器,每个表里包含不同的链(chain),链里边定义了不同的规则(policy),我们通过定义不同的规则,来控制数据包在防火墙的进出。
iptables里的三大表
Filter 是默认的主机防火墙,过滤流入流出主机的数据包。里边包含INPUT,OUTPUT,FOWARD三个链
INPUT 过滤进入主机的数据包
OUTPUT 处理从本机发出去的数据包
FOWARD 处理流经本主机的数据包,与NAT有关系
Filter表是企业实现防火墙功能的重要手段
NAT 负责网络地址转换(来源于目的地址的IP与端口的转换),一般用于局域网的共享上网,与网络交换机acl类似,包含OUTPUT,PREROUTING,POSTROUTING三条链
OUTPUT 改变主机发出去的数据包的目标地址
PREROUTING 数据包到达防火墙时进行分路由判断之前执行的规则,改变数据包的目的地址,目的端口
POSTROUTING 数据包离开防火墙时进行分路由判断之前执行的规则,改变数据包的源的地址,源的端口
Mangle 以及raw在企业中应用比较少
4、画图讲解iptables包过滤经过不同表和链简易流程图并阐述。
1.数据包在准备进入iptables之前,NAT表的prerouting链会对数据包的目标地址进行IP或端口的改写、映射到不同IP或端口上。
2.此时数据包继续前行,有两种情况:
2.1数据包进入iptables的主机,经过FILTER表的INPUT链,进过NAT表的OUTPUT链与FILTER表的OUTPUT链流出,一般情况下,只需要控制FILTER表的INPUT链
2.2数据包流经主机,例如用来做路由的时候,数据包流经FILETER表的FORWARD链
2.3所有数据包最后都经由NAT表的POSTROUTING流出,对源地址IP或端口的改写。
5、请写出查看iptables当前所有规则的命令。
iptables -nL (默认查看filter表)
iptables -nL -t nat (插卡NAT表的规则)
6、禁止来自10.0.0.188 ip地址访问80端口的请求
iptables -A INPUT -p tcp -s 10.0.0.188 --deport 80 -j DROP
7、如何使在命令行执行的iptables规则永久生效?
方法1:
/etc/init.d/iptables save
方法2:
iptables-save >/etc/sysconfig/iptables
8、实现把访问10.0.0.3:80的请求转到172.16.1.17:80
在10.0.0.3主机上做IP映射,具体命令:
iptables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.17:80
9、实现172.16.1.0/24段所有主机通过124.32.54.26外网IP共享上网。
在124.32.54.26的主机上配置NAT表的POSTROUTING链
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 124.32.54.26
在172网段的每一台主机,都需要配置默认网关为124.32.54.26主机的同一网段的网卡的IP
10、描述tcp 3次握手及四次断开过程?
11.详细描述HTTP工作原理?
用户访问流程
DNS解析原理
tcp三次握手,四次断开
http的请求报文,响应报文的解释
常见状态码
再说一下其中架构
12.请描述iptables的常见生产应用场景。
1 ) 局 域 网 共 享 上 网 ( 适 合 做 企 业 内 部 局 域 网 上 网 网 关 , 以 及 IDC 机 房 内 网 的 上 网 网 关 )
(nat POSTROUTING)
2 ) 服 务 器 防 火 功 能 ( 适 合 IDC机 房 具 有 外 网 IP 的 服 务 器 )( 主 要 是 filter INPUT 的 控 制 )
3 ) 把 外 部 IP 及 端 囗 映 射 到 局 域 网 内 部 ( 可 以 一 对 一 IP 映 射 , 也 可 以 针 对 某 一 个 端 囗 映
射 )。 也 可 能 是 I DC 把 网 站 的 外 网 vip及 网 站 端 囗 映 射 到 负 载 均 衡 器 上 ( 硬 件 防 火 墙 ) 。 (nat
PREROUTING)
4 ) 办 公 路 由 器 + 网 关功能 (zebra 路 ±+iptables 过滤及 NAT+squid 正 向 透 明 代 理
80+ntop/iftop/iptraf 流 量 查 看 + tc 流 量 控 制 限 速
5 ) 邮 件 的 网 关
13、请描述下面iptables命令的作用
iptables -N syn-flood
iptables -A INPUT -i eth0 -syn -j syn-flood
iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN
iptables -A syn-flood -j DROP
防止SYN攻击的防火墙策略
14、企业WEB应用较大并发场景如何优化iptables?
把连接跟踪表调大,
把超时时间调小,
pv3000w左右,并发1w~2w,关掉iptables或者选择硬件防火墙。
二)企业运维经验面试题:
15、写一个防火墙配置脚本,只允许远程主机访问本机的80端口(奇虎360面试题)
(http://user.qzone.qq.com/49000448/blog/1429755081)
iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT
16、请描述如何配置一个linux上网网关?
linux网关的内核转发要打卡
17、请描述如何配置一个专业的安全的WEB服务器主机防火墙?
默认规则拒绝,用什么开什么
18、企业实战题6:请用至少两种方法实现!
写一个脚本解决DOS攻击生产案例
提示:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔3分钟。防火墙命令为:iptables -A INPUT -s 10.0.1.10 -j DROP。
(此题来自老男孩教育SHELL编程必会考试题之一)
http://www.cnblogs.com/Richard-Liang/p/8991570.html
19、/var/log/messages日志出现kernel: nf_conntrack: table full, dropping packet.请问是什么原因导致的?如何解决?
原因,连接中转池满了,需要调大,超时调小
需要内核调优
20、压轴上机实战iptables考试题
