欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

Iptables小结知识点!

程序员文章站 2022-06-13 20:37:35
...

iptables基础知识

防火墙原理与组成

iptables共有五链四表构成,如下图所示:
Iptables小结知识点!
五链:
1、INPUT:处理输入数据包
2、OUTPUT :处理输出数据包
3、PREROUTING:用于目标地址转换(DNAT)
4、POSTROUTING:用于源地址转换(SNAT)
5、FORWARD:处理转发数据包

四表:
1、NAT:负责网络地址转换,即来源与目的ip地址的port的转换
2、FILTER:真正负责主机防火墙功能的(过滤流入流出主机的数据包。)filter表iptables默认使用的表
3、MANGLE
4、RAW

面试题归纳

1 、详述 iptales 工作流程以及规则过滤顺序?
iptables过滤的规则顺序是由上至下,若出现相同的匹配规则则遵循由上至下的顺序

2 、 iptables 有几个表以及每个表有几个链?
Iptables有四表五 链

3 、 iptables 的几个表以及每个表对应链的作用,对应企业应用场景?
filter:INPUT 作用:for packets destined to local sockets
FORWARD 作用:for packets being routed through the box
OUTPUT 作用:for locally-generated packets
nat:PREROUTING 作用:for altering packets as soon as they come in
OUTPUT 作用:for altering locally-gener- ated packets before routing
POSTROUTING 作用:for altering packets as they are about to go out
mangle :PRE-ROUTING (for altering incoming packets before rout-ing) and OUTPUT (for altering locally-generated pack-ets before routing). INPUT (forpackets coming into the box itself), FORWARD (foraltering packets being routed through the box), and POSTROUTING (for altering packets as they are about to go out).

4 、画图讲解 iptables 包过滤经过不同表和链简易流程图并阐述。

5 、请写出查看 iptables 当前所有规则的命令。
iptables -L -n –line-numbers

6 、禁止来自 10.0.0.188 ip 地址访问 80 端口的请求
iptables -A INPUT -p tcp –dport 80 -j DROP

7 、如何使在命令行执行的 iptables 规则永久生效?
/etc/init.d/iptables save
iptables save >>/etc/sysconfig/iptables

8 、实现把访问 10.0.0.3:80 的请求转到 172.16.1.17:80
iptables -t nat -A PREROUTING -d 10.0.0.3 -p tcp –dport 80 -j DNAT –to-destination 172.16.1.6:80

9 、实现 172.16.1.0/24 段所有主机通过 124.32.54.26 外网 IP 共享上网。
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT –to-source 124.32.54.26
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE

10 、描述 tcp 3 次握手及四次断开过程?

  1. 详细描述 HTTP 工作原理?
    1 ) 地址解析
    2)封装HTTP请求数据包
    3)封装成TCP包,建立TCP连接 ( TCP的三次握手 )
    4)客户机发送请求命令
    5)服务器响应
    6)服务器关闭TCP连接

  2. 请描述 iptables 的常见生产应用场景。
    端口映射
    企业应用场景:
    1) 把访问外网IP及端口的请求映射到内网某个服务器及端口(企业内部);
    2) 硬件防火墙,把访问LVS/nginx外网VIP及80端口的请求映射到IDC 负载均衡服务器内部IP及端口上(IDC机房的操作);

局域网共享上网
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT –to-source 120.43.61.124

13 、请描述下面 iptables 命令的作用

iptables -N syn-flood            
iptables -A INPUT -i eth0 -syn -j syn-flood
iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN
iptables -A syn-flood -j DROP

防止syn-flood攻击的

14 、企业 WEB 应用较大并发场景如何优化 iptables?

net.nf_conntrack_max = 25000000 
net.netfilter.nf_conntrack_max = 25000000 
net.netfilter.nf_conntrack_tcp_timeout_established = 180 
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

(二)企业运维经验面试题:

15 、写一个防火墙配置脚本,只允许远程主机访问本机的 80 端口(奇虎 360 面试题)

iptables -A INPUT -p tcp --dport 80 -j accept
iptables -A INPUT -p tcp  -j DROP

16 、请描述如何配置一个 linux 上网网关?

route add -net 192.168.0.0/24 gw 10.0.0.253 dev eth1

17 、请描述如何配置一个专业的安全的 WEB 服务器主机防火墙?
先将默认的INPUT链和Forward链关闭,只开放允许进入的端口

iptables -P  FORWARD DROP
iptables -P INPUT DROP

18 、企业实战题 6 :请用至少两种方法实现!
写一个脚本解决 DOS 攻击生产案例

提示:根据 web 日志或者或者网络连接数,监控当某个 IP 并发连接数或者短时内 PV 达到 100 ,即调用防火墙命令封掉对应的 IP ,监控频率每隔 3 分钟。防火墙命令为: iptables -I INPUT -s 10.0.1.10 -j DROP 。

方法一:

netstat -na| grep EST| awk -F  "[ :]+" '{print $6}' | sort | uniq -c >> /tmp/a .log
  while true
   do
   grep EST a.log| awk -F  '[ :]+' '{print $6}' | sort | uniq -c > /tmp/tmp .log
   exec < /tmp/tmp .log
   while read line
   do
     ip=` echo $line| awk "{print $2}" `
     count=` echo $line| awk "{print $1}" `
     if [  $count -gt 100 ] && [ `iptables -L -n| grep $ip| wc -l` -lt 1  ]
     then
       iptables -I INPUT -s $ip -j DROP      //-I 将其封杀在iptables显示在第一条
       echo "$line is dropped" >> /tmp/dropip .log
     fi
   done
   sleep 180
   done

方法二:

nestat -na| grep EST| awk -F  "[ :]+" '{print $6}' | awk '{S[$1]++}END{for(i in S) print i,S[i]}'

19 、 /var/log/messages 日志出现 kernel: nf_conntrack: table full, dropping packet. 请问是什么原因导致的?如何解决?
优化内核参数

net.netfilter.nf_conntrack_max = 25000000 
net.netfilter.nf_conntrack_tcp_timeout_established = 180 
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 

20 、压轴上机实战 iptables

iptables -t nat -A POSTROUTING -s 10.0.0.253 -j SNAT -o eth0 --to-source 120.43.61.124
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
tcpdump ip host 10.0.0.253 and  10.0.0.6 或 tcpdump ip host 10.0.0.253 and  10.0.0.7
iptables -t nat -A PREROUTING -d 120.43.61.124 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.6:80
相关标签: 防火墙 iptables