企業面試二十題
轉至老男孩部落格
企業優秀運維人員20道必會iptables面試題
(一)企業面試口試題
1、詳述iptales工作流程以及規則過濾順序?
按照連結清單裡面規則的順序從上往下一條條的比對,若比對到某條規則,該規則明确同意還是拒絕,就直接執行。若沒有比對的規則,就按照最後的預設規則來執行。
2、iptables有幾個表以及每個表有幾個鍊?
4表5鍊
四表: (1) filter(篩選作用,最常用) :INPUT OUTPUT FORWARD
(2) nat (負責資料包改寫,網關共享) :OUTPUT PREROUTING POSTPREROUTING
(3)mangle(硬體常使用) :INTPUT OUTPUT FORWARD PREROUTING POSTROUTING
(4)raw
3、iptables的幾個表以及每個表對應鍊的作用,對應企業應用場景?
filter:主機防火牆
nat:ip,端口映射, 共享上網
4、畫圖講解iptables包過濾經過不同表和鍊簡易流程圖并闡述。
nat的prerouting --> filter的input -->主機 --> nat的output --> filter的output --> nat的postroutng
nat的pretouting --> filter的forward --> nat的postrouting
5、請寫出檢視iptables目前所有規則的指令。
iptables -t 表名 -nvL
6、禁止來自10.0.0.188 ip位址通路80端口的請求
iptables -A INPUT -p tcp -s 10.0.0.8 --dport 80 -j DROP
7、如何使在指令行執行的iptables規則永久生效?
方法一:
#将防火牆規則儲存在 /etc/sysconfig/iptables當中
/etc/init.d/iptables save
方法二:
iptables -save >/etc/init.d/iptables
8、實作把通路10.0.0.3:80的請求轉到172.16.1.17:80
iptables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.17:80
9、實作172.16.1.0/24段所有主機通過124.32.54.26外網IP共享上網。
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 124.32.54.26
10、描述tcp 3次握手及四次斷開過程?
(課外參考:http://user.qzone.qq.com/49000448/blog/1426987479)
11.較長的描述HTTP工作原理?
12.請描述iptables的常見生産應用場景。
主機防火牆,共享上網,ip、端口映射
13、請描述下面iptables指令的作用
iptables -N syn-flood
iptables -A INPUT -i eth0 -syn -j syn-flood
iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN
iptables -A syn-flood -j DROP
iptables放泛洪攻擊的政策
14、企業WEB應用較大并發場景如何優化iptables?
把連接配接跟蹤表(conntrack)調大,逾時調小。
關閉防火牆或者選擇硬體防火牆
(二)企業運維經驗面試題:
15、寫一個防火牆配置腳本,隻允許遠端主機通路本機的80端口(奇虎360面試題)
(http://user.qzone.qq.com/49000448/blog/1429755081)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
16、請描述如何配置一個linux上網網關?
17、請描述如何配置一個專業的安全的WEB伺服器主機防火牆?
預設全部拒絕,想用什麼開什麼。
18、企業實戰題6:請用至少兩種方法實作!
寫一個腳本解決DOS攻擊生産案例
提示:根據web日志或者或者網絡連接配接數,監控當某個IP并發連接配接數或者短時内PV達到100,即調用防火牆指令封掉對應的IP,監控頻率每隔3分鐘。防火牆指令為:iptables -A INPUT -s 10.0.1.10 -j DROP。
(此題來自老男孩教育SHELL程式設計必會考試題之一)
19、/var/log/messages日志出現kernel: nf_conntrack: table full, dropping packet.請問是什麼原因導緻的?如何解決?
把連接配接跟蹤表(conntrack)調大,逾時調小。
關閉防火牆或者選擇硬體防火牆
20、壓軸上機實戰iptables考試題