企业优秀运维人员20道必会iptables面试题

企业面试二十题

转至老男孩博客

企业优秀运维人员20道必会iptables面试题

（一）企业面试口试题

1、详述iptales工作流程以及规则过滤顺序？

​ 按照链表里面规则的顺序从上往下一条条的匹配，若匹配到某条规则，该规则明确同意还是拒绝，就直接执行。若没有匹配的规则，就按照最后的默认规则来执行。

2、iptables有几个表以及每个表有几个链？

4表5链

​ 四表： (1) filter(筛选作用，最常用) ：INPUT OUTPUT FORWARD

​ （2） nat (负责数据包改写,网关共享) ：OUTPUT PREROUTING POSTPREROUTING

​ （3）mangle（硬件常使用） :INTPUT OUTPUT FORWARD PREROUTING POSTROUTING

​ （4）raw

3、iptables的几个表以及每个表对应链的作用，对应企业应用场景？

​ filter:主机防火墙

​ nat：ip，端口映射， 共享上网

4、画图讲解iptables包过滤经过不同表和链简易流程图并阐述。

​ nat的prerouting --> filter的input -->主机 --> nat的output --> filter的output --> nat的postroutng

​ nat的pretouting --> filter的forward --> nat的postrouting

5、请写出查看iptables当前所有规则的命令。

​ iptables -t 表名 -nvL

6、禁止来自10.0.0.188 ip地址访问80端口的请求

iptables -A INPUT -p tcp -s 10.0.0.8 --dport 80 -j DROP
           

7、如何使在命令行执行的iptables规则永久生效？

方法一：

#将防火墙规则保存在 /etc/sysconfig/iptables当中
/etc/init.d/iptables save
           

方法二：

iptables -save  >/etc/init.d/iptables
           

8、实现把访问10.0.0.3:80的请求转到172.16.1.17:80

iptables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination  172.16.1.17:80
           

9、实现172.16.1.0/24段所有主机通过124.32.54.26外网IP共享上网。

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 124.32.54.26
           

10、描述tcp 3次握手及四次断开过程？

（课外参考：http://user.qzone.qq.com/49000448/blog/1426987479）

11.详细描述HTTP工作原理？

12.请描述iptables的常见生产应用场景。

主机防火墙，共享上网，ip、端口映射
           

13、请描述下面iptables命令的作用

iptables -N syn-flood

iptables -A INPUT -i eth0 -syn -j syn-flood

iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN

iptables -A syn-flood -j DROP

​ iptables放泛洪攻击的策略

14、企业WEB应用较大并发场景如何优化iptables?

把连接跟踪表（conntrack）调大,超时调小。
           

​ 关闭防火墙或者选择硬件防火墙

（二）企业运维经验面试题：

15、写一个防火墙配置脚本，只允许远程主机访问本机的80端口（奇虎360面试题）

（http://user.qzone.qq.com/49000448/blog/1429755081）

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
           

16、请描述如何配置一个linux上网网关？

17、请描述如何配置一个专业的安全的WEB服务器主机防火墙？

默认全部拒绝，想用什么开什么。

18、企业实战题6：请用至少两种方法实现！

写一个脚本解决DOS攻击生产案例

提示：根据web日志或者或者网络连接数，监控当某个IP并发连接数或者短时内PV达到100，即调用防火墙命令封掉对应的IP，监控频率每隔3分钟。防火墙命令为：iptables -A INPUT -s 10.0.1.10 -j DROP。

（此题来自老男孩教育SHELL编程必会考试题之一）

19、/var/log/messages日志出现kernel: nf_conntrack: table full, dropping packet.请问是什么原因导致的？如何解决？

把连接跟踪表（conntrack）调大,超时调小。

​ 关闭防火墙或者选择硬件防火墙

20、压轴上机实战iptables考试题