身爲運維人員的你---關於防火牆你瞭解多少

時間 2019-11-09

標籤身爲人員關於防火牆瞭解多少简体版

原文原文鏈接

1.1 rule permit ip source 210.78.1.1 0.0.255.255 destination202.38.5.2 0.0.0.0 的含義是( D )web

A. 容許主機 210.78.1.1 訪問主機 202.38.5.2後端

B. 容許 210.78.0.0 的網絡訪問 202.38.0.0 的網絡安全

C. 容許主機 202.38.5.2 訪問網絡 210.78.0.0服務器

D. 容許 210.78.0.0 的網絡訪問主機 202.38.5.2網絡

2 在防火牆上容許 tcp 和 udp 端口 2一、 2三、 25 訪問內網，下列哪張協議包能夠進來？( A C D )ssh

A. SMTP #25 簡單郵件傳輸協議tcp

B. STP #spa

C. FTP #21 20排序

D. Telnet #23dns

E. HTTP #80

F. POP3 #110

3 如下不屬於防火牆可以實現的功能是？( B )

A、網絡地址轉換　　B、差錯控制　　C、數據包過濾　　D、數據轉發

4 哪一個不屬於 iptables 的表？( D )

A. filter　　B. nat　　C. mangle　　D. INPUT2

5 如下對防火牆的描述正確的是：( C )

A. 徹底阻隔了網絡　　B. 能在物理層隔絕網絡　　C. 僅容許合法的通信　　D. 沒法阻隔黑客的侵入

6（防火牆）是設置在被保護網絡和外部網絡之間的一道屏障，以防止破壞性侵入。

7 在 CentOS7 下，我想關閉掉防火牆，應該用命令_systemctl stop firewalld_來關閉掉。若是之後開機都不想它啓動起來，執行（systemctl disable firewalld）命令。

8 在 CentOS7 配置 ip轉發須要在（/etc/sysctl.conf）里加入（net.ipv4.ip_forward=1）執行（sysctl -p）命令後生效。

9.防火期牆策略，開放服務器 80 端口，禁止來自 10.0.0.188 的地址訪問服務器 80 端口的請求。

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -I INPUT -p tcp --dport 80 -s 10.0.0.188 -j DROP

或

iptables -A INPUT -p tcp --dport 80 ! -s 10.0.0.188 -j ACCEPT

10.防火牆策略，實現把訪問 10.0.0.3:80 的請求轉到 172.16.1.17:8080 上。

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 172.16.1.17:8080

10. 防火牆策略配置說明。闡述出 10.10.10.1 訪問 192.168.1.1 全部端口策略須要的配置過程。

iptables -A INPUT -p all -s 10.10.10.1 -d 192.168.1.1 --dport 1:65535 -j ACCEPT
iptables -t filter -I INPUT -p tcp --dport 1-65535 -s 10.10.10.1 -d 192.168.1.1 -j

11.屏蔽 192.168.1.5 訪問本機 dns 服務端口：

iptables -t filter -I INPUT -p udp --dport 53 -s 192.168.1.5 -j DROP
iptables -t filter -I INPUT -p tcp --dport 53 -s 192.168.1.5 -j DROP

12. iptables 禁止 10.10.10.1 訪問本地 80 端口

iptables -t filter -I INPUT -p tcp -s 10.10.10.1 --dport 80 -j DROP

13. 如何利用 iptables 屏蔽某個 IP 對 80 端口的訪問

iptables -t filter -I INPUT -p tcp -s xx.xx.xx.xx --dport 80 -j DROP

14. 寫出 iptables 四表五鏈，按照優先級排序

表的處理優先級：raw>mangle>nat>filter

進路由(PREROUTING)、進系統(INPUT) 、轉發(FORWARD)、出系統(OUTPUT)、出路由(POSTROUTING)

15 如何經過 iptables 將本地 80 端口的請求轉發到 8080 端口，當前主機 IP 爲 192.168.2.1

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:8080

16 請寫一條命令，只容許 80 端口，其餘端口都拒絕，eth1 網卡 ip 爲 192.168.1.12

一條命令的：

iptables -I INPUT -p tcp ! --dport 80 -j DROP

或

iptables -I INPUT -p tcp -i eth1 -d 192.168.1.12 ! --dport 80 -j DROP

分兩步的：

iptables -t filter -I INPUT -p tcp -d 192.168.1.12 --dport 80 -j ACCEPT
iptables -P INPUT DROP

17 限制鏈接到 192.168.100.100:8080 後端服務最大 1000

iptables -I INPUT -p tcp -d 192.168.100.100 --dport 8080 -m limit --limit 10/min --limit-burst 1000

18 請簡述防火牆的基本功能和特色

基本功能：

（1）包過濾；

（2）包的透明轉發；

（3）阻擋外部攻擊；

特色：

（1）數據的必經之地；

（2）網絡流量的合法性；

（3）抗攻擊免疫；

18 內網環境中，A(10.0.0.1)機與 B(10.0.0.2)機互通，如今須要在 A 機上簡單安全策略，禁止B 機訪問 A 機的 SSH 服務(22 端口)有幾種方法？如何操做？

　　iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

　　iptables -t filter -I INPUT -p tcp -s 10.0.0.2 -j DROP

　　iptables -t filter -I INPUT -p tcp -s 10.0.0.2 --dport 22 -j DROP

19 service iptables stop 與 iptables -F 有何區別？

　　systemctl stop iptables #關閉防火牆服務，若是規則沒有保存以前配置的規則丟失。前者是 iptables 服務的關閉，會清空當前規則。後者是清空臨時規則

20 iptables 封禁 eth0 網卡與 192.168.1.1 通信的全部數據包

　　iptables -t filter -I INPUT -p all -i eth0 -s 192.168.1.1 -j DROP

　　iptables -t filter -I OUTPUT -p all -o eth0 -d 192.168.1.1 -j DROP

21 iptables 禁止全部到本機(eth0:10.10.10.200)22 端口的 TCP 訪問

　　iptables -t filter -I INPUT -p tcp -d 10.10.10.200 --dport 22 -j DROP

22 如何禁止 192.168.500.2 訪問本機 ssh 端口？

　　iptables -I INPUT -p tcp --dport 22 -s 192.168.500.2 -j DROP

23 解釋這條規則：

/sbin/iptables -t nat -A PREROUTING -d 192.168.20.99/32 -p udp -m udp --dport 99 -j DNAT --to-destination 192.168.20.11

　　1. iptables -t filter -I INPUT -p tcp -s 192.168.500.2 --dport 22 -j DROP

　　2. 將請求 192.168.20.99 的 udp 99 端口的數據包轉發到 192.168.20.11

24 有一臺主機內網 IP：10.4.82.200，公網 IP：118.186.111.121，現欲使 10.4.82.0/24 網段（該網段默認網關爲 10.4.82.254），使用 10.4.82.200 做爲跳板機出往，請給出配置方法。

　　將默認網關改成 10.4.82.200

　　iptables -t nat -I POSTROUTING -p tcp -s 10.4.82.0/24 -j SNAT --to-source 118.186.111.121

25 配置跳板機的 iptables 防火牆規則

　　iptables -t filter -I INPUT -s xx.xx.xx.xx -p tcp --dport 2222 -j ACCEPT

26 把 10.10.0.0 網段流出的數據的原地址修改成 66.66.66.66

　　iptables -t nat -I POSTROUTING -p tcp -s 10.10.0.0/24 -j SNAT --to-source 66.66.66.66

27 本機有兩張網卡，分別爲 eth0 和 eth1，請寫出僅容許從 eth0 訪問本機 web(80)服務的 iptables規則，容許 eth1 全部訪問

　　iptables -t filter -I INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
　　iptables -t filter -I INPUT -p all -i eth1 -j ACCEPT

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。