【防火墙】的面试题 | 您所在的位置:网站首页 › 防火墙模拟测试 › 【防火墙】的面试题 |
【防火墙】面试题
iptables的面试问答:https://www.cnblogs.com/wajika/p/6382956.html20道必会iptables面试题:https://www.cnblogs.com/wajika/p/6382853.htmliptables四个表与五个链间的处理关系:https://www.bbsmax.com/A/kmzLBxAG5G/CentOS7-IP代理转发功能的配置:https://blog.csdn.net/drxRose/article/details/88797494
1.选择
1.1 rule permit ip source 210.78.1.1 0.0.255.255 destination202.38.5.2 0.0.0.0 的含义是(B)
资料连接:https://bbs.51cto.com/thread-889882-1.html A.允许主机210.78.1.1访问主机202.38.5.2 B.允许210.78.0.0的网络访问202.38.0.0的网络 C.允许主机202.38.5.2 访问网络210.78.0.0 D.允许210.78.0.0的网络访问主机202.38.5.2 1.2在防火墙上允许tcp和udp端口21、 23、 25访问内网,下列那张协议包可以进来 (多选)A_C_D A.SMTP B.STP C.FTP D.Telnet E.HTTP F.POP3 1.3 以下不属于防火墙能够实现的功能是(B ) A、网络地址转换 B、差错控制 C、数据包过滤 D、数据转发 1.4 哪个不属于iptables的表(D) filter nat mangle INPUT 1.5 以下对防火墙的描述正确的是:(B) 完全阻隔了网络 能在物理层隔绝网络 仅允许合法的通讯 无法阻隔黑客的侵入 2 填空2.1 防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止破坏性侵入(内部网络) 2.2 在centos7下,我想关闭掉防火墙,应该用命令___systemctl stop firewalld___来关闭掉。如果以后开机都不想它启动起来,执行___systemctl disable firewalld____命令 2.3 在Centos7 配置ip转发需要在**/etc/sysctl.conf里加入net.ipv4.ip_forward=1执行sysctl -p**命令后生效 相关链接:https://blog.csdn.net/drxRose/article/details/88797494 3 简答 iptables save //保存规则 systemctl restart iptables //重启iptables服务以便生效相关链接:https://www.cnblogs.com/wajika/p/6382853.html filter表: INPUT 作用:用于发送到本地套接字的数据包。 FORWARD 作用:对于正在通过该框路由的数据包。 OUTPUT 作用:用于本地生成的数据包。 nat表: PREROUTING 作用:因为他们一进来就改变了包 OUTPUT 作用:用于在路由之前更改本地划分的数据包。 POSTROUTING 作用:改变包,因为它们即将离开3.1 防火墙策略,开放服务器80端口,禁止来自10.0.0.188的地址访问服务器80端口的请求。 iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -d 10.0.0.188 --dport 80 -j DROP3.2 防火墙策略,实现把访问10.0.0.3:80的请求转到172.16.1.17:8080上。 iptables -t nat -A PREROUTING -d 10.00.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.17:80803.3 防火墙策略配置说明。阐述出10.10.10.1访问192.168.1.1所有端口策略需要的配置过程 3.4 iptables使用的表有哪些?请简要的描述iptables使用的表以及它们所支持的链。 Filter表、Nat表、Mangle表、Raw表 Filter表 : Filter表是iptables中使用的默认表,它用来过滤网络包。如果没有定义任何规则,Filter表则被当作默认的表,并且基于它来过滤。支持的链有INPUT链,OUTPUT链,FORWARD链。 Nat表 : Nat表主要用于网络地址转换。根据表中的每一条规则修改网络包的IP地址。流中的包仅遍历一遍Nat表。例如,如果一个通过某个接口的包被修饰(修改了IP地址),该流中其余的包将不再遍历这个表。通常不建议在这个表中进行过滤,由NAT表支持的链称为PREROUTING链,POSTROUTING链和OUTPUT链。 Mangle表 : 正如它的名字一样,这个表用于校正网络包。它用来对特殊的包进行修改。它能够修改不同包的头部和内容。Mangle表不能用于地址伪装。支持的链包括PREROUTING链,OUTPUT链,Forward链,Input链和POSTROUTING链。 Raw表 : Raw表在我们想要配置之前被豁免的包时被使用。它支持PREROUTING链和OUTPUT链。3.5 屏蔽192.168.1.5访问本机dns服务端口: iptables -A INPUT -s 192.168.1.5 -j DROP3.6 允许10.1.1.0/24访问本机的udp 8888 9999端口 相关链接:https://blog.csdn.net/zhaoyangjian724/article/details/52572632 iptables -A INPUT -p udp -s 10.1.1.0/24 -m multiport ! --dport 8888,9999 -j DROP3.7 iptables禁止10.10.10.1访问本地80端口 iptables -A INPUT -p tcp -s 10.10.10.1 --dport 80 -j DROP3.8 如何利用iptables屏蔽某个IP对80端口的访问 iptables -A INPUT -p tcp -s #屏蔽的IP# --dport 80 -j DROP3.9 写出iptables四表五链,按照优先级排序 iptables四个表与五个链间的处理关系:https://www.bbsmax.com/A/kmzLBxAG5G/ 默认表是filter(没有指定表的时候就是filter表) iptables的四表优先级:raw--->mangle--->nat--->filte filter:一般的过滤功能 nat:用于nat功能(端口映射,地址映射等) mangle:用于对特定数据包的修改 raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能 iptables的五链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING PREROUTING:数据包进入路由表之前 INPUT:通过路由表后目的地为本机 FORWARDING:通过路由表后,目的地不为本机 OUTPUT:由本机产生,向外转发 POSTROUTIONG:发送到网卡接口之前3.10如何通过iptables将本地80端口的请求转发到8080端口,当前主机IP为192.168.2.1 3.11请写一条命令,只允许80端口,其他端口都拒绝,eth1网卡ip为192.168.1.12 3.12限制连接到192.168.100.100:8080 后端服务最大1000 3.13请简述防火墙的基本功能和特点 3.14内网环境中,A(10.0.0.1)机与B(10.0.0.2)机互通,现在需要在A机上简历安全策略,禁止B机访问A机的SSH服务(22端口)有几种方法?如何操作? 3.15service iptables stop 与 iptables -F 有何区别? 3.16Iptables封禁eth0网卡与192.168.1.1通讯的所有数据包 3.17Iptables禁止所有到本机(eth0:10.10.10.200)22端口的TCP访问 3.18如何禁止192.168.500.2访问本机ssh端口?解释这条规则:/sbin/iptables -t nat -A PREROUTING -d 192.168.20.99/32 -p udp -m udp --dport 99 -j DNAT --to-destination 192.168.20.11 3.19有一台主机内网IP:10.4.82.200,公网IP:118.186.111.121,现欲使10.4.82.0/24网段,(该网段默认网关为10.4.82.254),使用10.4.82.200作为跳板机出往,请给出配置方法 3.20配置跳板机主机的某个内核参数,并使其生效 3.21配置跳板机的iptables防火墙规则 3.22把10.10.0.0 网段流出的数据的原地址修改为66.66.66.66 3.23本机有两张网卡,分别为eth0和eth1,请写出仅允许从eth0访问本机web(80)服务的iptables规则,允许eth1所有访问 |
今日新闻 |
推荐新闻 |
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 |