Iptables防火墙面试题

Iptables防火墙面试题

第1章 （一）基础口试题

1.1 详述 iptales 工作流程以及规则过滤顺序？

1.防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。
2.如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不能向下匹配新规则了。
3.如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。
4.防火墙的默认规则是对应链的所有的规则执行完才会执行的，（最后执行的规则）

　　

1.2 iptables 有几个表以及每个表有几个链？

   filter:INPUT,OUTPUT,FORWARD
   NAT   :POSTROUTING,PREROUTING,OUTPUT
   mangle:INPUT,OUTPUT,FORWARD，POSTROUTING,PREROUTING
   raw   : PREROUTING, OUTPUT

　　

1.3 iptables 的几个表以及每个表对应链的作用，对应企业应用场景？

#####filter：

强调：主要和主机自身有关，真正负责主机防火墙功能的（过滤流入流出主机的数据包。）filter表iptables默认使用的表。这个表轻易了三个链（chains）
企业工作场景：主机防火墙
INPUT：负责过滤所有目标地址是本机地址的数据包，通俗的讲，就是过滤进入主机的数据包
FORWARD：负责转发流经主机的数据包。起转发的作用，和nat关系很大，
OUTPUT：处理所有源地址是本机地址的数据包，通俗的讲，就是处理从主机发出去的数据包

强调：对于filter表的控制是实现本机防火墙功能的重要手段，特别是对INPUT链的控制

#####nat表：

负责网络地址转换，即来源与目的ip地址的port的转换，应用：和主机本身无关。一般用于局域网共享上网或特殊的端口转换服务相关。
NAT功能一般企业工作场景
.用于做企业路由（zebra）或网关（iptables），共享上网（postrouting）
.做内部外部IP地址一对一映射（dmz），硬件防火墙映射IP到内部服务器，ftp服务（prerouting）
.web，单个端口的映射。直接映射80端口（prerouting）
这个表定义了三个链（chains），nat功能就相当于网络的acl控制。和网络交换机类似
OUTPUT：和主机发出去的数据包有关，改变主机发出数据包的目标地址。
PREROUTING：在数据包到达防火墙时进行路由判断之前执行的规则。作用时改变数据包的目的地址，目的端口等。
POSTROUTING：在数据包离开防火墙时进行路由判断之后执行的规则，作用改变数据包的源地址，源端口等。。例如：笔记本和虚拟机都是192.168.1./，就是出网的时候被我们企业路由器把源地址改成了公网地址了。生产应用：局域网共享上网。
另外两个，raw和mangle在工作不常用，不做过多的解释了

1.4 画图讲解 iptables 包过滤经过不同表和链简易流程图并阐述。

1.5 请写出查看 iptables 当前所有规则的命令。

iptables -nL [ --line-num ]
【】表示可选项

1.6 禁止来自 10.0.0.188 ip 地址访问 80 端口的请求

iptables -I INPUT -p tcp -s 10.0.0.188 --dport  -j DROP

1.7 如何使在命令行执行的 iptables 规则永久生效？

.          /etc/init.d/iptables save
.          写入配置文件/etc/sysconfig/iptables
            并重启服务 /etc/init.d/iptables reload

1.8 实现把访问 10.0.0.8:80 的请求转到 172.16.1.17:80

iptables -t nat -A PREROUTING -d 10.0.0.8 -p tcp --dport  -j DNAT --to-destination 172.16.1.17:

1.9 实现 172.16.1.0/24 段所有主机通过 10.0.0.8 外网 IP 共享上网。

iptables -t nat -A POSTROUTING -s 172.16.1.0/ -o eth0 -j SNAT --to-source 10.0.0.8

1.10 描述 tcp 3 次握手及四次断开过程？

1.10.1 三次握手

.  由主机A发送建立TCP连接的请求报文，其中报文中包含seq序列号，是由发送端随机生成的，并且还将报文中SYN字段置为1，表示需要建立TCP连接
.  主机B会回复A发送的TCP连接请求报文，其中包含seq序列号，是由回复端随机生成的，并且将回复报文的SYN字段置1，而会产生ACK字段，ACK字段数值是在A发过来的seq序列号基础上加1进行回复，以便A收到信息时，知晓自已的TCP建立请求已得到了验证
.  A端收到B端发送的TCP建立验证请求后，会使自已的序列号加1表示，并且再次回复ACK验证请求，在B端发送过来的seq基础上加1，进行回复

1.10.2 四次挥手

.  主机A发送断开TCP连接请求的报文，其中报文中包含seq序列号，是由发送端随机生成的，并且还将报文中FIN字段置为1，表示需要断开TCP连接
.  主机B会回复A发送的TCP断开请求报文，其中包含seq序列号，是则回复端随机生成的，而且会产生ACK字段，ACK字段数值，是在A发过来的seq序列号基础上加1进行回复，以便A收到信息时，知晓自己的TCP断开请求已得到了验证
.  主机B在回复完A的TCP断开请求后，不会马上就进行TCP连接的断开，主机B会先确保断开前，所有传输到A的数据是否已经传输完毕，一旦确认传输数据完毕就会将回复报文的FIN字段置1，并产生随机seq序列号。
.  主机A收到主机B的TCP断开请求后，会回复主机B的断开请求，包含随机生成的seq字段和ack字段，ack字段会在主机B的TCP点开请求的seq基础上加1，从而完成主机B请求的验证回复。

1.11 详细描述 HTTP 工作原理？

用户访问网站流程
三次握手
请求报文
响应报文
四次挥手

1.12 请描述 iptables 的常见生产应用场景。

主机防火墙（filter表的INPUT链）
局域网共享上网（nat表的POSTROUTING链），半个路由器，NAT功能
端口及IP（一对一）映射（nat表的PRETOUTING链），硬件防火墙的NAT功能。

1.13 请描述下面 iptables 命令的作用------>自定义链

iptables -N syn-flood            # 自定义链
iptables -A INPUT -i eth0 -syn -j syn-flood                               #
iptables -A syn-flood -m limit -limit /s -limit-burst  -j RETURN   #
iptables -A syn-flood -j DROP

1.14 企业 WEB 应用较大并发场景如何优化 iptables?

1、调整内核sysctl.conf

net.nf_conntrack_max =
net.netfilter.nf_conntrack_max =
net.netfilter.nf_conntrack_tcp_timeout_established =
net.netfilter.nf_conntrack_tcp_timeout_time_wait =
net.netfilter.nf_conntrack_tcp_timeout_close_wait =
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 

2、LB启用防火墙，在web上开启防火墙

3、购买硬件防火墙

第2章 （二）企业运维面试题：

2.1 写一个防火墙配置脚本，只允许远程主机访问本机的 80 端口（奇虎 360 面试题）

iptables -A INPUT -p tcp --dport  -j ACCEPT         #允许80端口访问
iptables -P INPUT DROP                           #默认拒绝所有服务、端口访问

2.2 请描述如何配置一个 linux 上网网关？

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/ -j SNAT --to-source 10.0.0.8

2.3 请描述如何配置一个专业的安全的 WEB 服务器主机防火墙？

#!/bin/bash
IPT=/sbin/iptables

#Remove any existing rules
$IPT -F
$IPT -X
$IPT -Z

#setting default firewall policy
$IPT --policy OUTPUT ACCEPT
$IPT --policy FORWARD DROP
$IPT -P INPUT DROP

#setting for loopback interface
$IPT -A INPUT -i lo -j ACCEPT

#setting access rules
#one,ip access rules,allow all the ips of
$IPT -A INPUT -s 202.81.17.0/ -p all -j ACCEPT
$IPT -A INPUT -s 202.81.18.0/ -p all -j ACCEPT
$IPT -A INPUT -s 124.43.62.96/ -p all -j ACCEPT
$IPT -A INPUT -s 192.168.1.0/ -p all -j ACCEPT
$IPT -A INPUT -s 10.0.0.0/ -p all -j ACCEPT

#icmp
$IPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

#others RELATED
$IPT -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

/etc/init.d/iptables save
#iptables-save >/etc/sysconfig/iptables

2.4 企业实战题 6：请用至少两种方法实现！

写一个脚本解决 DOS 攻击生产案例
提示：根据 web 日志或者或者网络连接数，监控当某个 I-P 并发连接数或者短时内 PV 达到
，即调用防火墙命令封掉对应的 IP，监控频率每隔  分钟。防火墙命令为： iptables -A
INPUT -s 10.0.1.10 -j DROP。

2.5 /var/log/messages 日志出现 kernel: nf_conntrack: table full, dropping packet.请问是什么原因导致的？如何解决

1、调整内核sysctl.conf

net.nf_conntrack_max =
net.netfilter.nf_conntrack_max =
net.netfilter.nf_conntrack_tcp_timeout_established =
net.netfilter.nf_conntrack_tcp_timeout_time_wait =
net.netfilter.nf_conntrack_tcp_timeout_close_wait =
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 

sysctl -p 生效

2.6 实现共享上网

要求：

1. 实现PC-D可以经过linux网关B上网，上因特网浏览网页等。　

iptables -t nat -A POSTROUTING -s 172.16.1.0/ -o eth0 -j SNAT --to-source 10.0.0.8
iptables -t nat -A POSTROUTING -s 172.16.1.0/ -j MASQUERADE ç伪装。

2.实现外部用户A通过访问Linux网关B：10.0.0.8 即可以访问到内部 Server 172.16.1.51:80提供的web服务。

iptables -t nat -A PREROUTING -d 10.0.0.8 -p tcp --dport  -j DNAT --to-destination 172.16.1.61:

请分别给出命令完整实现细节，（操作目标机Linux网关B）？

3.假如1，2都配好了，但是问题处在内网普通PC-D和内部server-C，没有配置正确的网关，如何通过tcpdump来排查。

windows：ping 10.0.0.81
内网机器：tcpdump|grep -i icmp（两台机器上分别监测）

4.如何保证内部普通PC-D能够通过访问10.0.0.8:80也访问内部Server-C