Nishita Agarwal dzieli się swoim doświadczeniem w zaporze Linux „IPTABLES”

Nishita Agarwal, często Odwiedzający Tecmint podzieliła się z nami swoimi doświadczeniami (pytanie i odpowiedź) w sprawie rozmowy kwalifikacyjnej, którą właśnie udzieliła w prywatnej firmie hostingowej Pune, Indie. Zadano jej wiele pytań na różne tematy, jednak jest ekspertem iptables I chciała podzielić się tymi pytaniami i ich odpowiedzią (dała) związane z IPTABABALES z innymi, którzy mogą udzielić wywiadu w najbliższej przyszłości.

Wszystkie pytania i ich odpowiedź są przepisywane na podstawie pamięci Nishita Agarwal.

"Cześć przyjaciele! Nazywam się Nishita Agarwal. Uzyskałem tytuł licencjata w dziedzinie technologii. Moim obszarem specjalizacji jest UNIX i warianty Unix (BSD, Linux) fascynuje mnie od czasu, gdy to usłyszałem. Mam ponad 1 -letnie doświadczenie w przechowywaniu. Szukałem zmiany pracy, która zakończyła się firmą hostingową w Pune w Indiach."

Oto zbiór tego, czego zapytano mnie podczas wywiadu. Udokumentowałem tylko te pytania i ich odpowiedź, które były związane z IPTABLES w oparciu o moją pamięć. Mam nadzieję, że pomoże ci to złamać rozmowę kwalifikacyjną.

1. Czy słyszałeś o IPTABLES i Firewall w Linux? Wszelkie wyobrażenie o tym, czym są i do tego, co jest używane?

Odpowiedź : Używam iptables od dość dawna i jestem świadomy zarówno Iptables, jak i Firewall. IPTABLES to program aplikacyjny napisany głównie w języku programowania C i jest wydany w ramach ogólnej licencji publicznej GNU. Napisane dla punktu widzenia administracji systemu, najnowsza stabilna wersja If IPTABLES 1.4.21.iptables można uznać za zaporę ogniową dla systemu operacyjnego, który można nazwać iptables/Netfilter, dokładniej. Administrator wchodzi w interakcje z IPTABLES za pomocą narzędzi na froncie konsoli/GUI do dodawania i definiowania reguł zapory w predefiniowane tabele. Netfilter to moduł zbudowany wewnątrz jądra, który wykonuje zadanie filtrowania.

Firewalld to najnowsza implementacja reguł filtrowania w Rhel/Centos 7 (mogą być wdrażane w innych rozkładach, o których mogę nie być świadomy). Zastąpił interfejs IPBABLES i łączy się z Netfilter.

2. Czy użyłeś jakiegoś narzędzia na temat frontu opartego na GUI dla iptables lub linii poleceń Linux?

Odpowiedź : Chociaż korzystałem zarówno z narzędzi Front End na podstawie GUI dla iptables, takich jak Shorewall w koniugacji WebMin w GUI, jak i bezpośredni dostęp do IPTABLES przez konsolę.I muszę przyznać, że bezpośredni dostęp do IPTABLES przez konsolę Linux daje użytkownikowi ogromną moc w postaci wyższego stopnia elastyczności i lepszego zrozumienia tego, co dzieje się w tle, jeśli nie coś innego. GUI jest dla początkującego administratora, a konsola jest dla doświadczona.

3. Jakie są podstawowe różnice między iptables a zaporą ogniową?

Odpowiedź : IPTABLES i Firewalld służy temu samemu celowi (Filtrowanie pakietów), ale z innym podejściem. IPTABLES PŁUKA cały zestaw reguł za każdym razem, gdy zmiana jest dokonywana w przeciwieństwie do zapory ogniowej. Zazwyczaj lokalizacja konfiguracji iptables leży w '/etc/sysconfig/iptables„Podczas gdy konfiguracja zapory leży”/etc/firewalld/', który jest zestawem plików XML.Konfigurowanie zapory ogniowej opartej na XML jest łatwiejsze w porównaniu z konfiguracją iPtables, jednak to samo zadanie można osiągnąć przy użyciu aplikacji filtrowania pakietów, tj., IPTABLES i Firewalld. Firewalld uruchamia iptables pod kapturem wraz z własnym interfejsem wiersza poleceń i plik konfiguracyjnym, który jest oparty na XML i powiedział powyżej.

4. Czy zastąpiłbyś iptable na zaporę na wszystkich swoich serwerach, jeśli masz szansę?

Odpowiedź : Znam iptables i to działa, a jeśli nie ma nic, co wymaga dynamicznego aspektu zapory ogniowej, nie wydaje.W większości przypadków do tej pory nigdy nie widziałem, aby IPTables tworzy problem. Również ogólna zasada technologii informatycznej mówi: „Po co naprawić, jeśli nie jest zepsuta”. Jednak to moja osobista myśl i nie wspominałbym wdrożenia zapory ogniowej, gdyby organizacja zamierza zastąpić IPTables na zaporę.

5. Wydajesz się pewny iPtables, a plus jest to, że nawet my używamy iptables na naszym serwerze.

Jakie są tabele używane w iptables? Podaj krótki opis tabel używanych w iptables i obsługujących łańcuchy.

Odpowiedź : Dzięki za uznanie. Przechodząc do części pytań, w IPTABLES są używane cztery tabele, a mianowicie:

1. Tabela NAT
2. Stół Mangle
3. Tabela filtru
4. Surowy stół

Tabela NAT : Tabela NAT służy przede wszystkim do tłumaczenia adresów sieciowych. Pakiety maskowane uzyskują swój adres IP zgodnie z zasadami w tabeli. Pakiety w stole strumieniowym trawers Nat tylko raz. tj., Jeśli pakiet z odrzutowca pakietów jest udawany, reszta pakietów w strumieniu nie przejdzie ponownie przez ten stół. Zaleca się, aby nie filtrować w tej tabeli. Łańcuchy obsługiwane przez tabelę NAT to łańcuch preroutingowy, łańcuch bouthingowy i łańcuch wyjściowy.

Stół Mangle : Jak sama nazwa wskazuje, ta tabela służy do manglingu pakietów. Służy do specjalnej zmiany pakietu. Można go użyć do zmiany zawartości różnych pakietów i ich nagłówków. Tabela Mangle nie może być używana do maskaradowania. Obsługiwane łańcuchy to łańcuch preroutingowy, łańcuch wyjściowy, łańcuch do przodu, łańcuch wejściowy, łańcuch bouthingowy.

Tabela filtru : Tabela filtru jest domyślną tabelą używaną w iPtables. Służy do filtrowania pakietów. Jeśli żadne reguły nie są zdefiniowane, tabela filtru jest przyjmowana jako domyślna tabela, a filtrowanie odbywa się na podstawie tej tabeli. Obsługiwane łańcuchy to łańcuch wejściowy, łańcuch wyjściowy, łańcuch do przodu.

Surowy stół : Surowa tabela wchodzi w działanie, gdy chcemy skonfigurować pakiety, które zostały wcześniej zwolnione. Obsługuje łańcuch prerouting i łańcuch wyjściowy.

6. Jakie są wartości docelowe (które można określić w celu) w iptables i co robią, bądź krótki!

Odpowiedź : Poniżej znajdują się wartości docelowe, które możemy określić w Target w iptables:

1. 1. ZAAKCEPTOWAĆ : Zaakceptuj pakiety
   2. KOLEJKA : Pakiet PAAS do miejsca użytkownika (miejsce, w którym mieszkają aplikacja i sterowniki)
   3. UPUSZCZAĆ : Upuść pakiety
   4. POWRÓT : Kontrola powrotu do łańcucha połączeń i przestań wykonywać następny zestaw reguł dla pakietów bieżących w łańcuchu.

7. Przejdźmy do technicznych aspektów iptables, według technicznych.

Jak sprawdzić RPM IPTABLES, która jest wymagana do instalacji iptables w centroS?.

Odpowiedź : IPTABLES RPM są zawarte w standardowej instalacji Centos i nie musimy go instalować osobno. Możemy sprawdzić RPM jako:

# rpm -qa iptables iptables -1.4.21-13.El7.x86_64 

Jeśli chcesz go zainstalować, możesz zrobić mniam, aby to zdobyć.

# mniam instaluj usługi iptables 

8. Jak sprawdzić i upewnić się, czy usługa iptables działa?

Odpowiedź : Aby sprawdzić status iPtables, możesz uruchomić następujące polecenie na terminalu.

# Service IPTABLES [ON Centos 6/5] # SystemCtl status iptables [on Centos 7] 

Jeśli nie działa, poniższe polecenie może zostać wykonane.

---------------- Na Centos 6/5 ---------------- # CHKCONFIG -LEVEL 35 IPTABLES On # Service IPTables Start ---------------- Na Centos 7 ---------------- # Systemctl Włącz IPTABLES # Systemctl Uruchom iptables 

Możemy również sprawdzić, czy moduł IPTABLE jest załadowany, czy nie, ponieważ:

# lsmod | GREP IP_TABLES 

9. Jak przejrzysz bieżące zasady zdefiniowane w iptables?

Odpowiedź : Obecne zasady w iptables mogą być recenzowane tak proste, jak:

# iptables -l 

Przykładowy wyjście

Wprowadzanie do łańcucha (akceptować zasadę) docelowe miejsce docelowe źródłowe Akceptuj wszystko - w dowolnym miejscu w dowolnym miejscu, w którym powiązane stanowe, akceptuj ICMP - gdziekolwiek gdziekolwiek zaakceptuj wszystko - gdziekolwiek akceptuj tcp - gdziekolwiek w dowolnym miejscu state Nowy TCP DPT: SSH odrzuć wszystkie - gdziekolwiek - gdziekolwiek - w dowolnym miejscu odrzucone z ICMP-Host-ProproiBited łańcuch Forward (Akceptuj zasady) 

10. Jak spłukać wszystkie reguły IPTABLES lub określony łańcuch?

Odpowiedź : Aby wypłukać konkretny łańcuch IPTABLES, możesz użyć następujących poleceń.

 # IPTABLES -Flush wyjściowe 

Aby wypłukać wszystkie zasady IPTABLES.

# iptables -flush 

11. Dodaj regułę w iptables, aby zaakceptować pakiety z zaufanego adresu IP (powiedzmy 192.168.0.7)

Odpowiedź : Powyższy scenariusz można osiągnąć po prostu, uruchamiając poniższe polecenie.

# iptables -a wejście -s 192.168.0.7 -J Zaakceptuj 

Możemy dołączyć standardową maskę podsieci lub podsieci w źródle jako:

# iptables -a wejście -s 192.168.0.7/24 -J Zaakceptuj # iptables -a wejście -s 192.168.0.7/255.255.255.0 -J Zaakceptuj 

12. Jak dodać zasady, aby zaakceptować, odrzucić, odmawiać i upuścić usługę SSH w IPTABLES.

Odpowiedź : Mając nadzieję, że SSH działa na porcie 22, który jest również domyślnym portem dla SSH, możemy dodać regułę do iptables jako:

Do ZAAKCEPTOWAĆ Pakiety TCP dla SSH Service (port 22).

# iptables -a wejście -s -p tcp - -dport 22 -j Zaakceptuj 

Do ODRZUCIĆ Pakiety TCP dla SSH Service (port 22).

# iptables -a input -s -p tcp -dport 22 -J Odrzuć 

Do ZAPRZECZYĆ Pakiety TCP dla SSH Service (port 22).

 # iptables -a input -s -p tcp -dport 22 -J odmawianie 

Do UPUSZCZAĆ Pakiety TCP dla SSH Service (port 22).

 # iptables -a wejście -s -p tcp - -dport 22 -j upuść 

13. Pozwól, że dam ci scenariusz. Powiedzmy, że istnieje maszyna, której lokalny adres IP wynosi 192.168.0.6. Musisz blokować połączenia w porcie 21, 22, 23 i 80 na swój komputer. Co zrobisz?

Odpowiedź : Cóż, wszystko, czego muszę użyć, to 'Multiport„Opcja z iPtables, a następnie numery portów, które mają być zablokowane, a powyższy scenariusz można osiągnąć w jednym Go As.

# iptables -a wejście -s 192.168.0.6 -p TCP -M Multiport -DPORT 21,22,23,80 -J DROP 

Pisemne reguły można sprawdzić za pomocą poniższego polecenia.

# IPTABLES -L Wejście łańcucha (Polityka) Wszystkie-gdziekolwiek w dowolnym miejscu odrzucają z ICMP-Host-Host-ProproiBited Drop TCP-192.168.0.6 w dowolnym miejscu multiport dports SSH, Telnet, HTTP, łańcuch WebCache Forward (Akceptuj zasad) 

Przeprowadzający wywiad : To wszystko, o co chciałem zapytać. Jesteś cennym pracownikiem, którego nie chcielibyśmy przegapić. Polecę twoje imię HR. Jeśli masz jakieś pytanie, możesz mnie zadać.

Jako kandydat nie chciałem zabijać rozmowy, dlatego pytaj o projekty, które chciałbym, jeśli zostanie wybrany i jakie są inne otwarcia w firmie. Nie wspominając o tym, że runda HR nie była trudna do złamania i miałem okazję.

Też chciałbym podziękować Avishek I Ravi (kogo od dawna jestem przyjacielem) za poświęcenie czasu na udokumentowanie wywiadu.

Przyjaciele! Jeśli udzieliłeś takiego wywiadu i chciałbyś podzielić się swoim doświadczeniem w rozmowie milionom czytelników Tecmint na całym świecie? Następnie wyślij swoje pytania i odpowiedzi na [chroniony e -mail] lub możesz przesłać swoje doświadczenie w rozmowie za pomocą następującego formularza.

Dziękuję! Keep Connected. Daj mi również znać, gdybym mógł odpowiedzieć na pytanie bardziej poprawnie niż to, co zrobiłem.