Nishita Agarwal berkongsi pengalaman wawancara beliau di firewall linux 'iptables'
- 4090
- 899
- Dave Kreiger V
Nishita Agarwal, kerap Pelawat Tecmint berkongsi pengalamannya (soalan dan jawapan) dengan kami mengenai wawancara kerja yang baru saja diberikannya dalam syarikat hosting milik persendirian di Pune, India. Dia ditanya banyak soalan mengenai pelbagai topik tetapi dia pakar dalam IPTABLES Dan dia ingin berkongsi soalan -soalan itu dan jawapan mereka (dia memberi) yang berkaitan dengan iptables kepada orang lain yang mungkin akan memberikan wawancara dalam masa terdekat.
Semua soalan dan jawapan mereka ditulis semula berdasarkan ingatan Nishita Agarwal.
"Halo kawan! Nama saya ialah Nishita Agarwal. Saya telah mengejar Ijazah Sarjana Muda Teknologi. Kawasan pengkhususan saya adalah Unix dan varian Unix (BSD, Linux) mempesona saya sejak masa saya mendengarnya. Saya mempunyai 1+ tahun pengalaman dalam simpanan. Saya sedang mencari perubahan pekerjaan yang berakhir dengan syarikat hosting di Pune, India."
Inilah koleksi apa yang saya tanya semasa wawancara. Saya hanya mendokumentasikan soalan -soalan itu dan jawapan mereka yang berkaitan dengan iptables berdasarkan ingatan saya. Harap ini dapat membantu anda dalam memecahkan wawancara anda.
1. Pernahkah anda mendengar tentang iptables dan firewall di linux? Sebarang idea tentang apa yang mereka dan untuk apa yang digunakannya?
Jawapan: Saya telah menggunakan iptables untuk masa yang lama dan saya sedar akan kedua -dua iptables dan firewall. Iptables adalah program aplikasi yang kebanyakannya ditulis dalam bahasa pengaturcaraan C dan dikeluarkan di bawah Lesen Awam Umum GNU. Ditulis untuk sudut pandangan Pentadbiran Sistem, pelepasan stabil terkini jika iptables 1.4.21.iptables mungkin dianggap sebagai firewall untuk unix seperti sistem operasi yang boleh dipanggil sebagai IPTABLES/netfilter, lebih tepat. Pentadbir berinteraksi dengan iptables melalui alat akhir konsol/GUI untuk menambah dan menentukan peraturan firewall ke dalam jadual yang telah ditetapkan. Netfilter adalah modul yang dibina di dalam kernel yang melakukan tugas penapisan.
Firewalld adalah pelaksanaan peraturan penapisan terkini dalam RHEL/Centos 7 (boleh dilaksanakan dalam pengagihan lain yang saya tidak dapat mengetahui). Ia telah menggantikan antara muka iptables dan menghubungkan ke netfilter.
2. Adakah anda pernah menggunakan beberapa jenis alat akhir depan GUI untuk iptables atau baris arahan Linux?
Jawapan: Walaupun saya telah menggunakan kedua -dua alat akhir depan GUI untuk iptables seperti shorewall dalam konjugasi webmin di GUI dan akses langsung ke iptables melalui konsol.Dan saya harus mengakui bahawa akses langsung ke iptables melalui konsol Linux memberikan kuasa besar pengguna dalam bentuk tahap fleksibiliti yang lebih tinggi dan pemahaman yang lebih baik tentang apa yang sedang berlaku di latar belakang, jika tidak apa -apa yang lain. GUI adalah untuk pentadbir baru manakala konsol untuk berpengalaman.
3. Apakah perbezaan asas antara iptables dan firewalld?
Jawapan: IPTABLES dan FIREWALLD melayani tujuan yang sama (Penapisan paket) tetapi dengan pendekatan yang berbeza. Iptables siram keseluruhan peraturan yang ditetapkan setiap kali perubahan dibuat tidak seperti firewalld. Biasanya lokasi konfigurasi iptables terletak di '/etc/sysconfig/iptables'sedangkan konfigurasi firewalld terletak di'/etc/firewalld/', yang merupakan satu set fail XML.Mengkonfigurasi firewalld berasaskan XML lebih mudah berbanding dengan konfigurasi iptables, namun tugas yang sama dapat dicapai dengan menggunakan kedua -dua aplikasi penapisan paket iaitu., iptables dan firewalld. Firewalld menjalankan iptables di bawah tudungnya bersama dengan antara muka baris arahan dan fail konfigurasi yang berasaskan XML dan berkata di atas.
4. Adakah anda akan menggantikan iptables dengan firewalld pada semua pelayan anda, jika diberi peluang?
Jawapan: Saya biasa dengan iptables dan ia berfungsi dan jika tidak ada yang memerlukan aspek dinamik firewalld, nampaknya tidak ada alasan untuk memindahkan semua konfigurasi saya dari iptables ke firewalld.Dalam kebanyakan kes, setakat ini saya tidak pernah melihat iptables membuat masalah. Juga Peraturan Umum Teknologi Maklumat Mengatakan "Mengapa Memperbaiki Jika Tidak Patah". Walau bagaimanapun, ini adalah pemikiran peribadi saya dan saya tidak akan keberatan melaksanakan firewalld jika organisasi akan menggantikan iptables dengan firewalld.
5. Anda nampaknya yakin dengan iptables dan titik tambah juga kami menggunakan iptables di pelayan kami.
Apakah jadual yang digunakan dalam iptables? Berikan penerangan ringkas mengenai jadual yang digunakan dalam iptables dan rantai yang mereka menyokong.
Jawapan: Terima kasih atas pengiktirafan. Bergerak ke bahagian soalan, terdapat empat jadual yang digunakan dalam iptables, iaitu:
- Jadual NAT
- Meja mangle
- Jadual penapis
- Jadual mentah
Jadual NAT : Jadual NAT digunakan terutamanya untuk terjemahan alamat rangkaian. Paket yang diselaraskan dapatkan alamat IP mereka diubah mengikut peraturan dalam jadual. Paket di sungai melintasi jadual NAT sekali sahaja. iaitu., Sekiranya satu paket dari jet paket disamuk, mereka berehat dari pakej di sungai tidak akan melintasi jadual ini lagi. Disarankan untuk tidak menapis dalam jadual ini. Rantai yang disokong oleh jadual NAT adalah rantai prerouting, rantai postrouting dan rantai output.
Meja mangle : Seperti namanya, jadual ini berfungsi untuk mengamuk paket. Ia digunakan untuk perubahan pakej khas. Ia boleh digunakan untuk mengubah kandungan paket yang berbeza dan tajuk mereka. Meja mangle tidak boleh digunakan untuk menyamar. Rantai yang disokong adalah rantai prerouting, rantai output, rantai hadapan, rantai input, rantai postrouting.
Jadual penapis : Jadual penapis adalah jadual lalai yang digunakan dalam iptables. Ia digunakan untuk penapisan paket. Sekiranya tiada peraturan ditakrifkan, jadual penapis diambil sebagai jadual lalai dan penapisan dilakukan berdasarkan jadual ini. Rantai yang disokong adalah rantai input, rantai output, rantai hadapan.
Jadual mentah : Jadual mentah bertindak apabila kita mahu mengkonfigurasi pakej yang dikecualikan lebih awal. Ia menyokong rantai dan rantai output prerouting.
6. Apakah nilai sasaran (yang boleh ditentukan dalam sasaran) dalam iptables dan apa yang mereka lakukan, singkat!
Jawapan: Berikut adalah nilai sasaran yang dapat kita tentukan dalam sasaran dalam iptables:
-
- Menerima : Terima paket
- Baris : Pakej PaaS ke Ruang Pengguna (tempat di mana aplikasi dan pemandu tinggal)
- Jatuh : Drop paket
- Kembali : Kawalan kembali untuk memanggil rantai dan berhenti melaksanakan set peraturan seterusnya untuk paket semasa dalam rantai.
7. Mari bergerak ke aspek teknikal iptables, dengan teknikal saya bermaksud praktikal.
Bagaimana anda akan memeriksa iptables rpm yang diperlukan untuk memasang iptables di centOs?.
Jawapan: iptables rpm dimasukkan dalam pemasangan centOS standard dan kami tidak perlu memasangnya secara berasingan. Kita boleh menyemak RPM sebagai:
# rpm -qa iptables iptables -1.4.21-13.EL7.x86_64
Sekiranya anda perlu memasangnya, anda boleh melakukan yum untuk mendapatkannya.
# yum Pasang perkhidmatan iptables
8. Cara Memeriksa dan Memastikan Sekiranya Perkhidmatan Ippa Berjalan?
Jawapan: Untuk memeriksa status iptables, anda boleh menjalankan arahan berikut di terminal.
# status iptables perkhidmatan [pada Centos 6/5] # iptables status systemctl [on Centos 7]
Sekiranya tidak berjalan, arahan di bawah boleh dilaksanakan.
---------------- Pada Centos 6/5 ---------------- # chkconfig -level 35 iptables pada # iptables perkhidmatan bermula ---------------- Pada Centos 7 ---------------- # Systemctl Dayakan iptables # Systemctl Start iptables
Kami juga boleh menyemak sama ada modul iptables dimuatkan atau tidak, seperti:
# lsmod | grep ip_tables
9. Bagaimana anda akan menyemak peraturan semasa yang ditakrifkan dalam iptables?
Jawapan: Peraturan semasa dalam iptables boleh dikaji semula semudah:
# iptables -l
Output sampel
Input Rantai (Polisi Menerima) Sasaran Prot Opt Source Destinati di mana-mana menolak dengan rantaian yang dihasilkan oleh ICMP ke hadapan (menerima) sasaran prot optik destinasi menolak semua-di mana sahaja menolak dengan output rantaian icmp-host-host (menerima) sasaran sasaran prot
10. Bagaimana anda akan membuang semua peraturan ibadat atau rantaian tertentu?
Jawapan: Untuk membuang rantai iptables tertentu, anda boleh menggunakan arahan berikut.
# IPPABLES -output flush
Untuk membuang semua peraturan iptables.
# IPPABLES --flush
11. Tambahkan peraturan di iptables untuk menerima paket dari alamat IP yang dipercayai (katakan 192.168.0.7)
Jawapan: Senario di atas dapat dicapai hanya dengan menjalankan arahan di bawah.
# iptables -a input -s 192.168.0.7 -j Terima
Kami mungkin memasukkan topeng standard atau topeng subnet di sumber sebagai:
# iptables -a input -s 192.168.0.7/24 -J Terima # IPPABLES -A Input -s 192.168.0.7/255.255.255.0 -j Terima
12. Cara menambah peraturan untuk menerima, menolak, menafikan dan menjatuhkan perkhidmatan SSH di iptables.
Jawapan: Berharap SSH berjalan di port 22, yang juga merupakan port lalai untuk SSH, kita boleh menambah peraturan kepada iptables sebagai:
Ke Menerima Paket TCP untuk Perkhidmatan SSH (port 22).
# iptables -a input -s -p tcp --dport 22 -j Terima
Ke Menolak Paket TCP untuk Perkhidmatan SSH (port 22).
# iptables -a input -s -p tcp --dport 22 -j menolak
Ke Menafikan Paket TCP untuk Perkhidmatan SSH (port 22).
# iptables -a input -s -p tcp --dport 22 -j menafikan
Ke Jatuh Paket TCP untuk Perkhidmatan SSH (port 22).
# iptables -a input -s -p tcp --dport 22 -j drop
13. Izinkan saya memberi anda senario. Katakan terdapat mesin alamat IP tempatan yang 192.168.0.6. Anda perlu menyekat sambungan pada port 21, 22, 23, dan 80 ke mesin anda. Apa yang akan kamu lakukan?
Jawapan: Baik yang perlu saya gunakan ialah 'Multiport'Pilihan dengan iptables diikuti oleh nombor port untuk disekat dan senario di atas dapat dicapai dalam satu perjalanan sebagai.
# iptables -a input -s 192.168.0.6 -P TCP -M Multiport -Dport 21,22,23,80 -J Drop
Peraturan bertulis boleh diperiksa menggunakan arahan di bawah.
# input rantai iptables -l (menerima dasar) sasaran prot optik destinasi menerima semua -di mana sahaja di mana sahaja berkaitan dengan negeri yang berkaitan, yang ditubuhkan menerima ICMP -di mana sahaja menerima semua -di mana sahaja menerima TCP -di mana sahaja Negeri TCP baru DPT: SSH menolak Semua-Di mana sahaja ditolak dengan TCP Drop TCP-192 yang dihasilkan oleh ICMP.168.0.6 Di mana-mana Multiport Dports SSH, Telnet, HTTP, Rantai WebCache Forward (Policy Accept) Target Prot Opt Source Destination Menolak Semua-Di Mana-mana Di Mana-mana Tolak-dengan Output Rantaian ICMP-Host-Prohibited (menerima Polisi)
Penemuduga : Itu sahaja yang ingin saya tanyakan. Anda adalah pekerja yang berharga yang tidak akan kami rindukan. Saya akan mengesyorkan nama anda ke HR. Sekiranya anda mempunyai pertanyaan, anda boleh bertanya kepada saya.
Sebagai calon saya tidak mahu membunuh perbualan maka terus bertanya mengenai projek -projek yang saya akan mengendalikan jika dipilih dan apakah bukaan lain di syarikat itu. Belum lagi HR pusingan tidak sukar untuk retak dan saya mendapat peluang.
Saya juga ingin mengucapkan terima kasih Avishek dan Ravi (siapa saya kawan sejak lama) kerana meluangkan masa untuk mendokumentasikan wawancara saya.
Rakan! Sekiranya anda telah memberikan wawancara sedemikian dan anda ingin berkongsi pengalaman wawancara anda kepada berjuta -juta pembaca Tecmint di seluruh dunia? Kemudian hantarkan soalan dan jawapan anda [dilindungi e -mel] atau anda boleh menghantar pengalaman temuduga anda menggunakan borang berikut.
Kongsi Pengalaman Temuduga AndaTerima kasih! Terus bersambung. Beritahu saya jika saya dapat menjawab soalan dengan lebih tepat daripada apa yang saya lakukan.
- « Cara Mengaktifkan Sintaks Sorotan dalam Editor VI/VIM
- Mengapa saya menjumpai nginx praktikal lebih baik daripada Apache »