赠它期名师精讲iptbales大礼包文档iptables面试20道

1、iptables 面试 20 道作者：张亚 归档：学习笔记2017/4/15 快捷键：Ctrl + 1标题 1Ctrl + 2标题 2Ctrl + 3标题 3Ctrl + 4实例Ctrl + 5程序代码Ctrl + 6 正 文格式说明：蓝色字体：注释黄色背景：重要绿色背景：注意老男孩 linux 运维实战教育-目录学无止境，老男孩教育成就你人生的起点！老男孩教育教学核心思想 6 重：重目标、重思路、重方法、重实践、重习惯、重总结 联系方式: 网站运维 QQ 交流群：Linux385168604Python 29215534官方网站:架构师 3906

2、42196大数据 421358633目录第 1 章 （一）企业面试口试题11、详述 iptales 工作流程以及规则过滤顺序？12、iptables 有几个表以及每个表有几个链？13、iptables 的几个表以及每个表对应链的作用，对应企业应用场景？14、画图讲解 iptables 包过滤经过不同表和链简易流程图并阐述。25、请写出查看 iptables 当前所有规则的命令。36、禁止来自 88 ip 地址访问 80 端口的请求37、如何使在命令行执行的 iptables 规则永久生效？38、实现把访问 :80 的请求转到 7:8049、实

3、现 /24 段所有主机通过 6 外网 IP 共享上网。410、描述 tcp 3 次握手及四次断开过程？411. 详细描述 HTTP 工作原理？512. 请描述 iptables 的常见生产应用场景。513、请描述下面 iptables 命令的作用514、企业 WEB 应用较大并发场景如何优化 iptables?5第 2 章 （二）企业运维经验面试题：615、写一个配置脚本，只允许远程主机访问本机的 80 端口（奇虎 360 面试题）6II老男孩 linux 运维实战教育-目录16、请描述如何配置一个 linux 上网网关？617、请描述如何配置一个专业

4、的安全的 WEB 服务器主机？618、企业实战题 6：请用至少两种方法实现！719、/var/log/messages 日志出现 kernel: nf_conntrack: table full, dropping packet.请问是什么原因导致的？如何解决？1120、压轴上机实战 iptables 考试题 注：本试题全部摘自老男孩教育运维班课堂讲过的内容，课程不断，精彩不断，老男孩教育国内最优秀的教育机构，教学效果全国 NO1。121、详述 iptales 工作流程以及规则过滤顺序？1老男孩 linux 运维实战教育/第1章 （一）企业面试口试

5、题iptables 采用数据包过滤机制工作的,他会对请求的数据包的包头数据进行分析,并根据预先设定的规则决定是否可以进入主机.过滤顺序是层层过滤,从上到下,从前到后进行过滤. 只要匹配上就不再往下进行匹配2、iptables 有几个表以及每个表有几个链？4 个表5 个链3、iptables 的几个表以及每个表对应链的作用，对应企业应用场景？3 个表Filter 表 真正的功能Nat 表 负责数据包改写,网关共享,端口映射Mangle 表 路由相关,用的不多5 个链INPUT 过滤进入主机的数据包FORWARD 负责转发流经主机的数据包OUTPUT处理从主机发出去的数据包PREROUTING 数

6、据包到达时进行路由判断之前执行的规则,适合的工作场景是端口映射POSTROUTING 数据包离开时进行路由判断之后执行的规则,适合的工作场景是共享上网41117397(丹丹)70271111(歪歪)80042789(飞雪) 390320151(小雨)41117483(冰冰)24、画图讲解 iptables 包过滤经过不同表和链简易流程图并阐述。老男孩 linux 运维实战教育/3老男孩 linux 运维实战教育/说明:1. 到数据包到达的时候,首先检测有没有匹配 NAT 规则这里是 NAT 表的 PRE

7、ROUTING 控制, 如果匹配上就进入下一步,假设没有配置 NAT 表规则的话默认是放行的.2. 此时判断数据包是请求的地址是否为局域网内的机器,是的话就由 FITER 表控装的 INPUT链指定的规则来匹配,如果合规,那么就交给要处理的机器.如果不合规就丢弃3. 数据包由机器处理完成之后,交给 NAT 表的 OUTPUT 链处理,如果没有配置 NAT 表的 OUTPUT 规则,默认为放行,紧接着交给 FELTER 表的 OUTPUT 链去处理.4. 经过 NAT 表 OUTPUT 链处理完成之后数据包来到了 FELTER 表的 OUTPUT 链,如果合规就放行, 如果不合规就丢弃.5. 最

8、后数据包来到了最后一个关卡,也就是 NAT 表的 POSTROUTING 链,当然如果没有配置的话默认也是全部放行.5、请写出查看 iptables 当前所有规则的命令。iptables -nL iptables -nL -t nat iptables -nL -t mangle 6、禁止来自 88 ip 地址访问 80 端口的请求ipttables -A INPUT -p tcp -s 88 -dport 80 -j DROP 7、如何使在命令行执行的 iptables 规则永久生效？/etc/init.d/iptables save iptables-sav

9、e /etc/sysconfig/iptables 4老男孩 linux 运维实战教育/:80 iptables -t nat -A PREROUTING -d -p tcp -dport 9000 -j DNAT -to-destination 8、实现把访问 :9000 的请求转到 :809、实现 /24 段所有主机通过 6 外网 IP 共享上网。iptables -t nat -A POSTROUTING -s 172.16.1

10、.0/24 -o eth0 -j SNAT -to-source 10、描述 tcp 3 次握手及四次断开过程？（课外参考：/49000448/blog/1426987479） 三次握手: 同步序列编号（Synchronize Sequence Numbers）。 第二次握手：服务器收到 SYN 包,必须确认客户的 SYN（ack=x+1）,同时自己也发送一个 SYN 包（seq=y）,即发送SYN+ACK 包,此时服务器进入 SYN_RECV 状态; 第三次握手：客户端收到 SYN+ACK 包,向服务器发送 ACK(ack=y+

11、1）包,此包发送完毕,客户端和服务器进入ESTABLISHED 状态,完成三次握手. 完成三次握手，客户端与服务器开始传送数据 第一次握手：建立连接时,客户端发送 SYN（seq=x）包到服务器,并进入 SYN_SENT 状态,等待服务器的确认.SYN：四次挥手:tcp/ip 协议的四次断开的过程 注：挥手动作可由客户端或服务器任意一方发起。 第一次挥手：客户端发送 FIN+ACK 包（序号为 seq=a,确认序号 ack=b）给服务端,用来关闭客户端到服务端的数据传送,客户端进入 FIN_WAIT_1 状态. 第二次挥手：服务端收到 FIN+ACK 包后,发送 ACK 包给客户端进行确认,服

12、务端进入 CLOSE_WAIT 状态.客户端收到 ACK 包后进入 FIN_WAIT_2 状态.到这里,关闭一个单向通道. 第三次挥手：服务端发送 FIN+ACK 包给客户端,服务端进入 LAST_ACK 状态. 第四次挥手：客户端收到 FIN+ACK 包后,发送 ACK 包给服务端进行确认,客户端进入 TIME_WAIT 状态,在等待 30秒（可修改）后进入 CLOSED 状态.服务端收到 ACK 包后进入 CLOSED 状态,关闭另一个单向通道. 12.请描述 iptables 的常见生产应用场景。5老男孩 linux 运维实战教育/11.详细

13、描述 HTTP 工作原理？1. 局域网共享上网(适合做企业内部局域网上网网关,以及 IDC 机房内网的上网网关)(nat POSTROUTING)2. 服务器功能(适合 IDC 机房具有外网 IP 的服务器)(主要是 filter INPUT 的控制)3. 把外部 IP 及端口映射到局域网内部(可以一对一 IP 映射,也可以针对某一端口映射).也可能是 IDC把网站的外网 VIP 及网站端口映射到负载均衡器上(硬件).(nat PREROUTING)4. 办公路由器+网关功能(zebra 路由+iptables 过滤及 NAT+squid 正向 80+ntop/iftop/iptraf 流量查

14、看+tc 流量控制限速)5. 邮件的网关13、请描述下面 iptables 命令的作用iptables -N syn-floodiptables -A INPUT -i eth0 -syn -j syn-floodiptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN iptables -A syn-flood -j DROP14、企业 WEB 应用较大并发场景如何优化 iptables?net.nf_conntrack_max = 25000000 filter.nf_conntrack_m

15、ax = 25000000 filter.nf_conntrack_tcp_timeout_established = 180 filter.nf_conntrack_tcp_timeout_time_wait = 120 filter.nf_conntrack_tcp_timeout_close_wait = 60 filter.nf_conntrack_tcp_timeout_fin_wait = 120 15、写一个配置脚本，只允许远程主机访问本机的 80 端口（奇虎 360 面试题）6老男孩 linux 运维实战教育http:/w

16、/第2章 （二）企业运维经验面试题：（/49000448/blog/1429755081） iptables -A INPUT -dport 80 -j ACCEPT iptables -P INPUT DROP 16、请描述如何配置一个 linux 上网网关？route -net /24 gw 17、请描述如何配置一个专业的安全的 WEB 服务器主机？#首先设置允许 ssh 连接iptables -F iptables -X iptables -Z iptables -A

17、 INPUT -p tcp -s /24 -dport 22 -j ACCEPT iptables -P INPUT DROP iptables -nL #设置允许本机 lo 通信规则iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #修改默认规则 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #开启信任网段 iptables -A INPUT -s 6/27 -p a

18、ll -j ACCEPT-办公室固定 IP 段iptables -A INPUT -s /24 -p all -j ACCEPT-IDC 机房的内网网段iptables -A INPUT -s /24 -p all -j ACCEPT-其他机房的内网网段iptables -A INPUT -s /24 -p all -j ACCEPT-IDC 机房的外网网段iptables -A INPUT -s /24 -p all -j ACCEPT/tmp/tmp.log #统计 IP 访问次数 exec /tmp/ip_

19、$(date +%F).log #把这个 ip 写进一个 IP 地址黑 else action iptables -I INPUT -s $ip -j DROP /bin/false fi fi 41117397(丹丹)70271111(歪歪)80042789(飞雪) 390320151(小雨)41117483(冰冰)9老男孩 linux 运维实战教育/ done function del() -f /tmp/ip_$(date +%F -d -1 day).log | #如果存在这个黑日志 echo log is not exist exit 1

20、 exec /tmp/tmp.log max_line=$(cat /tmp/tmp.log|wc -l) for (i=1;i/tmp/ip_$(date +%F).log else action iptables -I INPUT -s $ip -j DROP /bin/false fi fi done function del() if -f /tmp/ip_$(date +%F -d -1 day).log then 11老男孩 linux 运维实战教育/ cat /tmp/ip_$(date +%F -d -1 day).log|awk print iptables -D INPUT -s $1 -j DROP|bash else echo log is not exist fi function main() while true do sleep 10 (flag+) ipt $flag -ge 480 & del & flag=0 done main 19、/var/log/messages 日志出现 kernel: nf_conntrack: table full, dropping packet.请问是什么原因导致的？如何解决？解答:有两种可能,一是打开的端口太少导致不够用,修改 ip