天天看點
傳回

企業優秀運維人員20道必會iptables面試題

企業面試二十題

轉至老男孩部落格

企業優秀運維人員20道必會iptables面試題

(一)企業面試口試題

1、詳述iptales工作流程以及規則過濾順序?

​ 按照連結清單裡面規則的順序從上往下一條條的比對,若比對到某條規則,該規則明确同意還是拒絕,就直接執行。若沒有比對的規則,就按照最後的預設規則來執行。

2、iptables有幾個表以及每個表有幾個鍊?

4表5鍊

​ 四表: (1) filter(篩選作用,最常用) :INPUT OUTPUT FORWARD

​ (2) nat (負責資料包改寫,網關共享) :OUTPUT PREROUTING POSTPREROUTING

​ (3)mangle(硬體常使用) :INTPUT OUTPUT FORWARD PREROUTING POSTROUTING

​ (4)raw

3、iptables的幾個表以及每個表對應鍊的作用,對應企業應用場景?

​ filter:主機防火牆

​ nat:ip,端口映射, 共享上網

4、畫圖講解iptables包過濾經過不同表和鍊簡易流程圖并闡述。

​ nat的prerouting --> filter的input -->主機 --> nat的output --> filter的output --> nat的postroutng

​ nat的pretouting --> filter的forward --> nat的postrouting

5、請寫出檢視iptables目前所有規則的指令。

​ iptables -t 表名 -nvL

6、禁止來自10.0.0.188 ip位址通路80端口的請求

iptables -A INPUT -p tcp -s 10.0.0.8 --dport 80 -j DROP

7、如何使在指令行執行的iptables規則永久生效?

方法一:

#将防火牆規則儲存在 /etc/sysconfig/iptables當中
/etc/init.d/iptables save

方法二:

iptables -save  >/etc/init.d/iptables

8、實作把通路10.0.0.3:80的請求轉到172.16.1.17:80

iptables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination  172.16.1.17:80

9、實作172.16.1.0/24段所有主機通過124.32.54.26外網IP共享上網。

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 124.32.54.26

10、描述tcp 3次握手及四次斷開過程?

(課外參考:http://user.qzone.qq.com/49000448/blog/1426987479)

11.較長的描述HTTP工作原理?

12.請描述iptables的常見生産應用場景。

主機防火牆,共享上網,ip、端口映射

13、請描述下面iptables指令的作用

iptables -N syn-flood

iptables -A INPUT -i eth0 -syn -j syn-flood

iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN

iptables -A syn-flood -j DROP

​ iptables放泛洪攻擊的政策

14、企業WEB應用較大并發場景如何優化iptables?

把連接配接跟蹤表(conntrack)調大,逾時調小。

​ 關閉防火牆或者選擇硬體防火牆

(二)企業運維經驗面試題:

15、寫一個防火牆配置腳本,隻允許遠端主機通路本機的80端口(奇虎360面試題)

(http://user.qzone.qq.com/49000448/blog/1429755081)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

16、請描述如何配置一個linux上網網關?

17、請描述如何配置一個專業的安全的WEB伺服器主機防火牆?

預設全部拒絕,想用什麼開什麼。

18、企業實戰題6:請用至少兩種方法實作!

寫一個腳本解決DOS攻擊生産案例

提示:根據web日志或者或者網絡連接配接數,監控當某個IP并發連接配接數或者短時内PV達到100,即調用防火牆指令封掉對應的IP,監控頻率每隔3分鐘。防火牆指令為:iptables -A INPUT -s 10.0.1.10 -j DROP。

(此題來自老男孩教育SHELL程式設計必會考試題之一)

19、/var/log/messages日志出現kernel: nf_conntrack: table full, dropping packet.請問是什麼原因導緻的?如何解決?

把連接配接跟蹤表(conntrack)調大,逾時調小。

​ 關閉防火牆或者選擇硬體防火牆

20、壓軸上機實戰iptables考試題

企業優秀運維人員20道必會iptables面試題
iptables Linux 運維 面試 網關
上一篇: linux運維基礎面試題及答案,linux運維常見基礎面試題及答案(二)
下一篇: linux 微信運維群

繼續閱讀