首页 > 代码库 > 3小时后iptalbes练习题
3小时后iptalbes练习题
1、详述iptales工作流程以及规则过滤顺序?
?依次为:raw ?mangle ?nat ?filter规则链间的匹配顺序
?入站数据:PREROUTING ?INPUT
出站数据:OUTPUT ?POSTROUTING
转发数据:PREROUTING ?FORWARD POSTROUTING
2、iptables有几个表以及每个表有几个链?
Iptables有四表五链
3、请写出查看iptables当前所有规则的命令。
iptables -L –nv
4、禁止来自10.0.0.188 ip地址访问80端口的请求
iptables -A INPUT -p tcp --dport 80 -j DROP
5、如何使在命令行执行的iptables规则永久生效?
/etc/init.d/iptables save
iptables save >>/etc/sysconfig/iptables
6、实现把访问10.0.0.3:80的请求转到172.16.1.17:80
iptables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.6:80
实现172.16.1.0/24段所有主机通过124.32.54.26外网IP共享上网。
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 124.32.54.26
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
7.描述tcp 3次握手及四次断开过程
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接:
第一次握手:当客户端要建立连接时,首先发送syn=1,并随机产生一个序列号的报文到服务器,并进入SYN_SEND状态,等待服务器确认, 这时服务器是LISTEN状态
第二次握手:服务器收到报文请求,由SYN=1知道客户端要建立链接请求,向客户端发送ack number(客户端序列号+1),ack=1,syn=1,同时自己也发送一个SYN包(syn=k),
即SYN+ACK包,此时服务器进入SYN_RECV状态,
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(服务器的序列号+1),ack=1,server收到后确认seq值与ack=1,客户端和服务器进入 ESTABLISHED状态,完成三次握手。
完成三次握手,客户端与服务器开始传送数据.
四次断开过程:
1、客户端发送一个FIN,用来关闭客户端到服务器的数据传送,此时客户端进入TIME_WAIT1状态
2、服务器收到这个FIN,它发回一个ACK,确认号为收到的序号加1,和SYN一样,一个FIN将占用一个序号,此时服务器进入CLOSE_WAIT状态,客户端端进入TIME_WAIT2
3、当服务器端也没有要传送的数据时,服务器关闭与客户端的连接,发送一个FIN给客户端A,服务器进入LAST_ACK
4、客户端发回ACK报文确认,并将确认号设置为收到序号加1,客户端进入TIME_WAIT,等待2MSL--120s,服务器端接后进入CLOSED
8.详细描述HTTP工作原理?
1 ) 地址解析
2)封装HTTP请求数据包
3)封装成TCP包,建立TCP连接(TCP的三次握手)
4)客户机发送请求命令
5)服务器响应
6)服务器关闭TCP连接
9.请描述iptables的常见生产应用场景。
端口映射
企业应用场景:
1) 把访问外网IP及端口的请求映射到内网某个服务器及端口(企业内部);
2) 硬件防火墙,把访问LVS/nginx外网VIP及80端口的请求映射到IDC 负载均衡服务器内部IP及端口上(IDC机房的操作) ;
局域网共享上网
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 120.43.61.124
10、请描述下面iptables命令的作用
iptables -N syn-flood
iptables -A INPUT -i eth0 -syn -j syn-flood
iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN
iptables -A syn-flood -j DROP
防止syn-flood攻击的
11、企业WEB应用较大并发场景如何优化iptables?
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
(二)企业运维经验面试题:
12、写一个防火墙配置脚本,只允许远程主机访问本机的80端口(奇虎360面试题)
iptables -A INPUT -p tcp --dport 80 -j accept
iptables -A INPUT -p tcp -j DROP
13、请描述如何配置一个linux上网网关?
route add -net 192.168.0.0/24 gw 10.0.0.253 dev eth1
14、请描述如何配置一个专业的安全的WEB服务器主机防火墙?
先将默认的INPUT链和Forward链关闭,只开放允许进入的端口
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
15、企业实战题6:请用至少两种方法实现!
写一个脚本解决DOS攻击生产案例
提示:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔3分钟。防火墙命令为:iptables -I INPUT -s 10.0.1.10 -j DROP。
方法一:
netstat -na|grep EST|awk -F "[ :]+" ‘{print $6}‘|sort|uniq -c >>/tmp/a.log
while true
do
grep EST a.log|awk -F ‘[ :]+‘ ‘{print $6}‘|sort|uniq -c >/tmp/tmp.log
exec </tmp/tmp.log
while read line
do
ip=`echo $line|awk "{print $2}"`
count=`echo $line|awk "{print $1}"`
if [ $count -gt 100 ] && [ `iptables -L -n|grep $ip|wc -l` -lt 1 ]
then
iptables -I INPUT -s $ip -j DROP //-I 将其封杀在iptables显示在第一条
echo "$line is dropped" >>/tmp/dropip.log
fi
done
sleep 180
done
方法二:netstat -na|grep EST|awk -F "[ :]+" ‘{print $6}‘|awk ‘{S[$1]++}END{for(i in S) print i,S[i]}‘
16、/var/log/messages日志出现kernel: nf_conntrack: table full, dropping packet.请问是什么原因导致的?如何解决?
优化内核参数
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
17、实战iptables
iptables -t nat -A POSTROUTING -s 10.0.0.253 -j SNAT -o eth0 --to-source 120.43.61.124
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
tcpdump ip host 10.0.0.253 and 10.0.0.6 或 tcpdump ip host 10.0.0.253 and 10.0.0.7
iptables -t nat -A PREROUTING -d 120.43.61.124 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.6:80
18, Iptables脚本
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
iptables -F
iptables -X
iptables -Z
#------------------------default rule ------------------------------
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#------------------------limit packet per second------------------------------
/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j DROP
#------------------------ssh rule -------------------------------------------
iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
#------------------------www-ftp-mail-dns rule --------------------------------
iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
#-------------------------ICMP rule ------------------------------------------
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
3小时后iptalbes练习题