07-[面試題答案]防火墻面試題整理

第第1章章選擇
1.1 rule permit ip source 210.78.1.1 0.0.255.255 destination202.38.5.2 0.0.0.0 的含義是（ D ）
A. 允許主機(jī) 210.78.1.1 訪問主機(jī) 202.38.5.2
B. 允許 210.78.0.0 的網(wǎng)絡(luò)訪問 202.38.0.0 的網(wǎng)絡(luò)
C. 允許主機(jī) 202.38.5.2 訪問網(wǎng)絡(luò) 210.78.0.0
D. 允許 210.78.0.0 的網(wǎng)絡(luò)訪問主機(jī) 202.38.5.2
1.2 在防火墻上允許 tcp 和和 udp 端口 21 、 23 填帽、 25 訪問內(nèi)網(wǎng)蛛淋，下列那張協(xié)議包可以進(jìn)來（多選）
A C D
A. SMTP #25 簡單郵件傳輸協(xié)議
B. STP #
C. FTP #21 20
D. Telnet #23
E. HTTP #80
F. POP3 #110
1.3 以下不屬以下不屬于防火墻能夠?qū)崿F(xiàn)的功能是( B )
A、網(wǎng)絡(luò)地址轉(zhuǎn)換
B篡腌、差錯(cuò)控制
C褐荷、數(shù)據(jù)包過濾
D、數(shù)據(jù)轉(zhuǎn)發(fā)
1.4 哪個(gè)不屬于 iptables 的表 D
A. filter
B. nat
C. mangle
D. INPUT

1.5 以下對(duì)防火墻的描述正確的是：（C ）
A. 完全阻隔了網(wǎng)絡(luò)
B. 能在物理層隔絕網(wǎng)絡(luò)
C. 僅允許合法的通訊
D. 無法阻隔黑客的侵入
第第2章章填空
2.1 （（防火墻）是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障嘹悼，以防止破壞性侵入
2.2 在在 CentOS7 下叛甫，我想關(guān)閉掉防火墻，應(yīng)該用命令systemctl stop firewalld 來關(guān)閉掉杨伙。如果以后開
機(jī)都不想它啟動(dòng)起來其监，執(zhí)行(systemctl disable firewalld) 命令
2.3 在 CentOS7 配置 ip 轉(zhuǎn)發(fā)需要在(/etc/sysctl.conf) 里加入(net.ipv4.ip_forward=1) 執(zhí)行(sysctl -p) 命令
后生效
第第3章章簡答
3.1 防火期墻策略，開放服務(wù)器 80 端口限匣，禁止來自 10.0.0.188 的地址訪問服務(wù)器 80 端口的請(qǐng)求抖苦。
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -I INPUT -p tcp --dport 80 -s 10.0.0.188 -j DROP
或
iptables -A INPUT -p tcp --dport 80 ! -s 10.0.0.188 -j ACCEPT
3.2 防火墻策略，實(shí)現(xiàn)把訪問 10.0.0.3:80 的請(qǐng)求轉(zhuǎn)到 172.16.1.17:8080 上米死。
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 172.16.1.17:8080
3.3 防火墻策略配置說明锌历。闡述出 10.10.10.1 訪問 192.168.1.1 所有端口策略需要的配置過程
iptables -A INPUT -p all -s 10.10.10.1 -d 192.168.1.1 --dport 1:65535 -j ACCEPT
iptables -t filter -I INPUT -p tcp --dport 1-65535 -s 10.10.10.1 -d 192.168.1.1 -j ACCPET

iptables 知識(shí)考察，根據(jù)要求寫出防火墻規(guī)則
3.4 屏蔽 192.168.1.5 訪問本機(jī) dns 服務(wù)端口：
iptables -t filter -I INPUT -p udp --dport 53 -s 192.168.1.5 -j DROP
iptables -t filter -I INPUT -p tcp --dport 53 -s 192.168.1.5 -j DROP
3.5 允許 10.1.1.0/24 訪問本機(jī)的 udp 8888 9999 端口
iptables -t filter -I INPUT -s 10.1.1.0/24 -p udp -m multiport --dport 8888,9999 -j ACCEPT
3.6 iptables 禁止 10.10.10.1 訪問本地 80 端口
iptables -t filter -I INPUT -p tcp -s 10.10.10.1 --dport 80 -j DROP
3.7 如何利用 iptables 屏蔽某個(gè) IP 對(duì) 對(duì) 80 端口的訪問
iptables -t filter -I INPUT -p tcp -s xx.xx.xx.xx --dport 80 -j DROP
3.8 寫出 iptables 四表五鏈峦筒，按照優(yōu)先級(jí)排序
表的處理優(yōu)先級(jí)：raw>mangle>nat>filter
進(jìn)路由(PREROUTING)究西、進(jìn)系統(tǒng)(INPUT) 、轉(zhuǎn)發(fā)(FORWARD)勘天、出系統(tǒng)(OUTPUT)怔揩、出路由
(POSTROUTING)
3.9 如何通過 iptables 將本地 80 端口的請(qǐng)求轉(zhuǎn)發(fā)到 8080 端口捉邢，當(dāng)前主機(jī) IP 為為 192.168.2.1
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:8080
3.10 請(qǐng)寫一條命令，只允許 80 端口商膊，其他端口都拒絕伏伐，eth1 網(wǎng)卡 ip 為為 192.168.1.12
一條命令的：
iptables -I INPUT -p tcp ! --dport 80 -j DROP
或
iptables -I INPUT -p tcp -i eth1 -d 192.168.1.12 ! --dport 80 -j DROP
分為兩步的:
iptables -t filter -I INPUT -p tcp -d 192.168.1.12 --dport 80 -j ACCEPT
iptables -P INPUT DROP

3.11 限制連接到 192.168.100.100:8080 后端服務(wù)最大 1000
iptables -I INPUT -p tcp -d 192.168.100.100 --dport 8080 -m limit --limit 10/min --limit-burst
1000
3.12 請(qǐng)簡述防火墻的基本功能和特點(diǎn)
基本功能：
包過濾
包的透明轉(zhuǎn)發(fā)
阻擋外部攻擊
記錄攻擊
特點(diǎn)：
數(shù)據(jù)必經(jīng)之地
網(wǎng)絡(luò)流量的合法性
抗攻擊免疫力
3.13 內(nèi)網(wǎng)環(huán)境中，A （10.0.0.1 ）機(jī)與 B （10.0.0.2 ）機(jī)互通晕拆，現(xiàn)在需要在 A 機(jī)上簡單安全策略藐翎，禁止
B 機(jī)訪問 A 機(jī)的 SSH 服務(wù)（（22 端口）有幾種方法？如何操作实幕？
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
iptables -t filter -I INPUT -p tcp -s 10.0.0.2 -j DROP
iptables -t filter -I INPUT -p tcp -s 10.0.0.2 --dport 22 -j DROP
3.14 service iptables stop 與 iptables -F 有何區(qū)別吝镣？
systemctl stop iptables #關(guān)閉防火墻服務(wù)，如果規(guī)則沒有保存之前配置的規(guī)則丟失
前者是 iptables 服務(wù)的關(guān)閉昆庇，會(huì)清空當(dāng)前規(guī)則末贾。
后者是清空臨時(shí)規(guī)則
3.15 iptables 封禁 eth0 網(wǎng)卡與 192.168.1.1 通訊的所有數(shù)據(jù)包
iptables -t filter -I INPUT -p all -i eth0 -s 192.168.1.1 -j DROP
iptables -t filter -I OUTPUT -p all -o eth0 -d 192.168.1.1 -j DROP
3.16 iptables 禁止所有到本機(jī)（eth0:10.10.10.200 ）22 端口的 TCP 訪問
iptables -t filter -I INPUT -p tcp -d 10.10.10.200 --dport 22 -j DROP

3.17 如何禁止 192.168.500.2 訪問本機(jī) ssh 端口？
3.18 解釋這條規(guī)則：/sbin/iptables -t nat -A PREROUTING -d 192.168.20.99/32 -p udp -m udp --dport
99 -j DNAT --to-destination 192.168.20.11

iptables -t filter -I INPUT -p tcp -s 192.168.500.2 --dport 22 -j DROP
將請(qǐng)求 192.168.20.99 的 udp 99 端口的數(shù)據(jù)包轉(zhuǎn)發(fā)到 192.168.20.11
3.19 有一臺(tái)主機(jī)內(nèi)網(wǎng) IP ：10.4.82.200 整吆，公網(wǎng) IP ：118.186.111.121 拱撵，現(xiàn)欲使 10.4.82.0/24 網(wǎng)段, （該網(wǎng)段
為默認(rèn)網(wǎng)關(guān)為 10.4.82.254 ），使用 10.4.82.200 作為跳板機(jī)出往表蝙，請(qǐng)給出配置方法
將默認(rèn)網(wǎng)關(guān)改為 10.4.82.200
iptables -t nat -I POSTROUTING -p tcp -s 10.4.82.0/24 -j SNAT --to-source 118.186.111.121
3.20 配置跳板機(jī)主機(jī)的某個(gè)內(nèi)核參數(shù)拴测，并使其生效
3.21 配置跳板機(jī)的 iptables 防火墻規(guī)則
iptables -t filter -I INPUT -s xx.xx.xx.xx -p tcp --dport 2222 -j ACCEPT
3.22 把把 10.10.0.0 網(wǎng)段流出的數(shù)據(jù)的原地址修改為 66.66.66.66
iptables -t nat -I POSTROUTING -p tcp -s 10.10.0.0/24 -j SNAT --to-source 66.66.66.66
3.23 本機(jī)有兩張網(wǎng)卡，分別為 eth0 和和 eth1 府蛇，請(qǐng)寫出僅允許從 eth0 訪問本機(jī) web （80 ）服務(wù)的 iptables
許規(guī)則集索，允許 eth1 所有訪問
iptables -t filter -I INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
iptables -t filter -I INPUT -p all -i eth1 -j ACCEPT