《Centos7——防火墙习题一》
目录
-
- Iptables防火墙
-
- 1. 开放80端口
- 2. 禁止网卡HTTP访问
- 3. 禁止TCP入站连接
- 一、选择题
- 三、实验题
Iptables防火墙
1. 开放80端口
为Web主机编写入站规则,允许ping,开放80端口
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -t filter -I OUTPUT -p tcp --dport 80 -j ACCEPT
2. 禁止网卡HTTP访问
编写iptables规则,禁止从eth1网卡进入的HTTP访问请求
[root@localhost ~]# iptables -I INPUT -i eth1 -p tcp --dport 80 -j REJECT
3. 禁止TCP入站连接
编写iptables规则,禁止所有外部的TCP入站连接,但对于外网响应本机TCP请求的数据包要允许通行
[root@localhost ~]# iptables -I INPUT -p tcp -j DROP
[root@localhost ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
一、选择题
- 如下图所示,只想让 XP 访问 WEB 这一个服务,其它服务禁止,那么需要在中间的防火墙上设置的规则有 (ABD )[选择3项]
A.iptables -P FORWARD DROP
B.iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
C.iptables -A FORWARD -p tcp --sport 80 -j ACCEPT
D.ptables -A INPUT -p tcp --dport 80 -j ACCEPT
-
在一台服务器上,禁止所有人远程 ssh 管理该服务器,下面哪些规则可以实现(AB )[选择2项]
A.iptables -A INPUT -p tcp --dport 22 -j DROP
B.iptables -A PREROUTING -p tcp --dport 22 -j DROP
C.iptables -A OUTPUT -p tcp --sport 22 -j DROP
D.iptables -A POSTROUTING -p tcp --sport 22 -j DROP -
在设置多端口号匹配的时候需要的参数是 ( B )[选择2项]
a)moreport B. multiport C. portmulti D. muchport -
在设置一个 ip 地址范围的时候需要指定的参数是 ( C)[选择1项]
A.range B. rangeip C. iprange D. multiip -
DROP 和 REJECT 两者的区别是 (AB )[选择2项]
A.DROP 直接丢弃数据包 B. REJECT 丢弃数据包后会给发送端一个响应信息
C.__两者都会把动作进行记录 D. 两者都是丢弃 -
对iptables的四个规则表描述正确的是( BD )[选择2项]
A. filter 表负责地址转换 B. raw 表负责状态跟踪
C. nat 表负责包过滤 D. mangle表可以实现流量整形 -
在iptables防火墙中有几种动作,以下对于每种动作的描述正确的是( CD )[选择2项]
A. REJECT 直接丢弃数据包 B. DROP 拒绝数据包,会给数据发送端发送一个响应信息
C. ACCEPT 允许数据包通过 D.LOG 记录匹配的信息到日志里面 -
有关iptables防火墙的描述中正确的是( A )[选择1项]
== A. iptables防火墙中的所有动作都遵循着“匹配即停”原则==
B. iptables防火墙中存在“匹配不停”的特例
C. 防火墙的日志记录在 /var/log/iptables 文件中
D. 防火墙的日志记录在 /var/log/iptables.log文件中 -
在RHEL6服务器上,依次设置下列iptables规则,则根据此策略设置,从客户机192.168.12.48中ping防火墙的数据包将会被(B)。(选择一项)
iptables -F INPUT
iptables -I INPUT -p icmp -s 192.168.12.0/24 -j LOG
iptables -I INPUT -p icmp -s 192.168.12.0/24 -j DROP
iptables -A INPUT -p icmp -j REJECT
iptables -P INPUT ACCEPT
A.LOG B.DROP C.REJECT D.ACCEPT -
对于三种规则的匹配条件,描述正确的是(BD )[选择2项]
A. 可以独立使用,不需要依赖其他条件或扩展模块的称为“隐含匹配”
B. 要求有额外的内核模块提供支持的,称为“显示匹配”
C. “通用匹配”不可以独立使用
== D. “隐含匹配”相当于“子条件”==
二、简答题
11. Linux 防火墙体系统中,netfilter和iptables的关系是什么?
答:netfilter是内核空间实现包过滤防火墙的功能体系。
iptables是用户空间的管理工具,用于管理和设置防火墙策略。
2.简述netfilter防火墙默认的规则表、链结构。
答:默认包含四个表、五条规则链,分别为:filter表(INPUT,OUTPUT,FORWARD)、nat表(OUTPUT、 PREROUTING、POSTROUTING)、mangle表(INPUT、OUTPUT、FORWARD、PREROUTING、 POSTROUTING)、raw表(OUTPUT、PREROUTING)。
3.编写iptables规则,禁止从eth1网卡进入的HTTP访问请求。
答:iptables -I INPUT -i eth1 -p tcp --dport 80 -j REJECT
- 编写iptables规则,禁止所有外部的TCP入站连接,但对于外网响应本机TCP请求的数据包要允许通行。
答:iptables -I INPUT -p tcp -j DROP
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
5.编写iptables规则,针对局域网用户访问Internet进行DNS查询的过程,允许通过防火墙进行转发,防火墙的外网接口为eth1。
答:iptables -I FORWARD -o eth1 -p udp --dport 53 -j ACCEPT
iptables -I FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
三、实验题
1.课堂实验
实验环境——公司的Web服务器,网管服务器均采用RHEL6操作系统,如图所示,为了加强网络访问的安全性,要求管理员熟悉iptables防火墙规则的编写,以便制定有效、可行的主机防护策略。
实验要求——为网站服务器编写入展规则:
允许接收响应本机ping测试请求的各种ICMP数据包。
允许访问本机中位于80端口的Web服务,禁止访问其他端口的TCP请求。
允许发往本机以建立链接或与已有链接相关的各种TCP数据包。
禁止其他任何形式的入站访问数据。
为网管服务器编写转发规则:
允许局域网中的主机访问Internet中的Web DNS 邮件服务。
禁止局域网中的主机访问 web.qq.com w.qq.com im.qq.com等网站,以防止通过WebQQ的方式进行在线聊天。
答:
iptables -F
iptables -X
iptables -Z
Iptables -P INPUT -j DROP
Iptables -L INPUT
Iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
Iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATE D -J ACCEPT
Iptables -A FORWARD -p udp --sport 53 -i eth0 -j ACCEPT
for i in `cat ip.txt`
do
Iptables -I FORWARD -d $i -p tcp -m multiport --dport 80,443 -j DROP
done
service $IPT save
2.课后实验
实验环境——公司的Web服务器,网管服务器均采用centos6操作系统,如图所示,为了加强网络访问的安全性,要求管理员熟悉iptables防火墙规则的编写,以便制定有效、可行的主机防护策略。
实验要求——为网站服务器编写入展规则:
允许接收响应本机ping测试请求的各种ICMP数据包。
允许访问本机中位于80端口的Web服务,禁止访问其他端口的TCP请求。
允许发往本机以建立链接或与已有链接相关的各种TCP数据包。
禁止其他任何形式的入站访问数据。
为网管服务器编写转发规则:
允许局域网中的主机访问Internet中的Web DNS 邮件服务。
禁止局域网中的主机访问 web.qq.com w.qq.com im.qq.com等网站,