13 Intervista Mistoqsijiet fuq Linux iptables Firewall
Nishita Agarwal, Viżitatur frekwenti Tecmint qasmet l-esperjenza tagħha (Mistoqsija u Tweġiba) magħna dwar l-intervista tax-xogħol li kienet għadha kif tat f’kumpanija ta’ hosting ta’ proprjetà privata f’Pune, l-Indja. Hi ġiet mistoqsija ħafna mistoqsijiet dwar varjetà ta 'suġġetti madankollu hija esperta fl-iptables u riedet taqsam dawk il-mistoqsijiet u t-tweġiba tagħhom (hi tat) relatati ma' iptables lil oħrajn li jistgħu jkunu se jagħtu intervista fil-futur qarib.
Il-mistoqsijiet kollha u t-Tweġiba tagħhom huma miktuba mill-ġdid ibbażati fuq il-memorja ta 'Nishita Agarwal.
\Hello Ħbieb! Jisimni Nishita Agarwal. Għandi l-Grad ta' Baċellerat fit-Teknoloġija. Il-qasam ta' Speċjalizzazzjoni tiegħi huwa UNIX u Varjanti ta' UNIX (BSD, Linux) jaffaxxinani minn meta smajtu. Għandi 1+ snin ta' esperjenza fil-ħażna. Kont qed infittex bidla ta’ xogħol li spiċċat b’kumpanija ta’ hosting f’Pune, l-Indja.”
Hawn hu l-ġabra ta’ dak li ġejt mistoqsi waqt l-Intervista. Iddokumentajjt biss dawk il-mistoqsijiet u t-tweġiba tagħhom li kienu relatati ma 'iptables ibbażati fuq il-memorja tiegħi. Nittama li dan jgħinek biex tkisser l-Intervista tiegħek.
Tweġiba: Jien ilni nuża iptables għal żmien pjuttost twil u jien konxju kemm tal-iptables kif ukoll tal-firewall. Iptables huwa programm ta' applikazzjoni miktub l-aktar f'C Programming Language u huwa rilaxxat taħt il-Liċenzja Pubblika Ġenerali tal-GNU. Miktub għall-Lat ta 'amministrazzjoni tas-Sistema, l-aħħar rilaxx stabbli jekk iptables 1.4.21.iptables jistgħu jitqiesu bħala firewall għal sistema operattiva bħal UNIX li tista' tissejjaħ bħala iptables/netfilter, b'mod aktar preċiż. L-Amministratur jinteraġixxi ma 'iptables permezz ta' għodod ta 'quddiem console/GUI biex iżid u jiddefinixxi r-regoli tal-firewall f'tabelli predefiniti. Netfilter huwa modulu mibni ġewwa l-qalba li jagħmel ix-xogħol ta 'filtrazzjoni.
Firewalld hija l-aħħar implimentazzjoni tar-regoli tal-filtrazzjoni f'RHEL/CentOS 7 (jista 'jiġi implimentat f'distribuzzjonijiet oħra li forsi ma nkunx konxju bihom). Issostitwixxa l-interface iptables u jgħaqqad ma 'netfilter.
Tweġiba: Għalkemm użajt kemm l-għodod ta' quddiem ibbażati fuq GUI għal iptables bħal Webmin f'GUI u aċċess dirett għal iptables permezz tal-console.U għandi nammetti li aċċess dirett għal iptables permezz tal-console Linux jagħti lill-utent setgħa immensa fil-forma ta 'grad ogħla ta' flessibilità u fehim aħjar ta 'dak li qed jiġri fl-isfond, jekk mhux xi ħaġa oħra. GUI huwa għall-amministratur novizzi filwaqt li console hija għall-esperjenza.
Tweġiba: iptables u firewalld jaqdu l-istess għan (Packet Filtering) iżda b'approċċ differenti. iptables laħlaħ ir-regoli kollha stabbiliti kull darba li ssir bidla b'differenza mill-firewalld. Tipikament il-post tal-konfigurazzjoni ta' iptables tinsab f''/etc/sysconfig/iptables' filwaqt li l-konfigurazzjoni tal-firewalld tinsab f''/etc/firewalld/', li huwa sett ta' fajls XML.Konfigurazzjoni ta' firewalld ibbażat fuq XML. huwa eħfef meta mqabbel mal-konfigurazzjoni ta 'iptables, madankollu l-istess kompitu jista' jinkiseb billi tuża kemm l-applikazzjoni tal-iffiltrar tal-pakketti jiġifieri, iptables u firewalld. Firewalld iħaddem iptables taħt il-barnuża tiegħu flimkien mal-interface tal-linja tal-kmand tiegħu stess u l-fajl tal-konfigurazzjoni li huwa bbażat fuq XML u qal hawn fuq.
Tweġiba: Jiena familjari ma' iptables u qed jaħdem u jekk m'hemm xejn li jeħtieġ aspett dinamiku ta' firewalld, jidher li m'hemm l-ebda raġuni biex nimigra l-konfigurazzjoni kollha tiegħi minn iptables għal firewalld. Fil-biċċa l-kbira tal-każijiet, s'issa qatt ma rajt iptables joħloq kwistjoni. Ukoll ir-regola ġenerali tat-teknoloġija tal-Informazzjoni tgħid għaliex issewwi jekk ma tinkiserx. Madankollu dan huwa l-ħsieb personali tiegħi u qatt ma niddejjaq nimplimenta firewalld jekk l-Organizzazzjoni se tissostitwixxi iptables ma firewalld.
X'inhuma t-tabelli użati fl-iptables? Agħti deskrizzjoni qasira tat-tabelli użati fl-iptables u l-ktajjen li jappoġġaw.
Tweġiba: Grazzi tar-rikonoxximent. Nimxu għall-parti tal-mistoqsija, Hemm erba 'tabelli użati fl-iptables, jiġifieri huma:
- Mejda Nat
- Mejda Mangle
- Tabella tal-Filtru
- Mejda mhux ipproċessata
Tabella Nat : Tabella Nat tintuża primarjament għat-Traduzzjoni tal-Indirizz tan-Netwerk. Pakketti masqueraded jiksbu l-indirizz IP tagħhom mibdul skont ir-regoli fit-tabella. Pakketti fil-fluss traversa Nat Table darba biss. Jiġifieri, Jekk pakkett minn jet ta 'Pakketti huwa maskraded huma l-bqija tal-pakketti fil-fluss mhux se travers permezz ta' din it-tabella mill-ġdid. Huwa rakkomandat li ma tiffiltrax f'din it-tabella. Ktajjen Appoġġjati minn Tabella NAT huma PREROUTING Chain, POSTROUTING Chain u OUTPUT Chain.
Tabella Mangle : Kif tissuġġerixxi l-isem, din it-tabella sservi għall-mangling tal-pakketti. Huwa użat għall-alterazzjoni tal-pakkett Speċjali. Jista 'jintuża biex jibdel il-kontenut ta' pakketti differenti u l-intestaturi tagħhom. Mangle table ma tistax tintuża għal Masquerading. Ktajjen appoġġjati huma PREROUTING Chain, OUTPUT Chain, Forward Chain, INPUT Chain, POSTROUTING Chain.
Tabella Iffiltra : Tabella Iffiltra hija t-tabella default użata f'iptables. Jintuża għall-iffiltrar tal-Pakketti. Jekk l-ebda regoli ma huma definiti, Tabella Iffiltra tittieħed bħala tabella default u l-iffiltrar isir fuq il-bażi ta 'din it-tabella. Ktajjen Appoġġjati huma INPUT Katina, OUTPUT Katina, FORWARD Katina.
Tabella mhux ipproċessata : Tabella mhux ipproċessata tidħol fis-seħħ meta rridu nikkonfiguraw pakketti li kienu eżentati qabel. Jappoġġja PREROUTING Chain u OUTPUT Chain.
Tweġiba: Li ġejjin huma l-valuri fil-mira li nistgħu nispeċifikaw fil-mira f'iptables:
-
- AĊĊĊETTA : Aċċetta Pakketti
- KJU : Paakett Paas għall-ispazju tal-utent (post fejn jirrisjedu l-applikazzjoni u s-sewwieqa)
- DROP : Qatra Pakketti
- RITORN : Irritorna l-Kontroll għall-katina tas-sejħa u tieqaf tesegwixxi s-sett ta' regoli li jmiss għall-Pakketti attwali fil-katina.
Kif se Iċċekkja l-iptables rpm li huwa meħtieġ biex tinstalla iptables f'CentOS?.
Tweġiba: iptables rpm huma inklużi fl-installazzjoni standard CentOS u m'għandniex bżonn ninstallawha separatament. Nistgħu niċċekkjaw l-rpm bħala:
# rpm -qa iptables iptables-1.4.21-13.el7.x86_64
Jekk għandek bżonn tinstallah, tista 'tagħmel yum biex tiksbu.
# yum install iptables-services
Tweġiba: Biex tiċċekkja l-istatus ta' iptables, tista' tħaddem il-kmand li ġej fuq it-terminal.
# service iptables status [On CentOS 6/5] # systemctl status iptables [On CentOS 7]
Jekk ma tkunx qed taħdem, il-kmand ta' hawn taħt jista' jiġi eżegwit.
---------------- On CentOS 6/5 ---------------- # chkconfig --level 35 iptables on # service iptables start ---------------- On CentOS 7 ---------------- # systemctl enable iptables # systemctl start iptables
Nistgħu niċċekkjaw ukoll jekk il-modulu iptables huwiex mgħobbi jew le, kif:
# lsmod | grep ip_tables
Tweġiba: Ir-regoli attwali f'iptables jistgħu jiġu riveduti sempliċi daqs:
# iptables -L
Output tal-Kampjun
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination
Tweġiba: Biex tlaħlaħ katina iptables partikolari, tista' tuża l-kmandi li ġejjin.
# iptables --flush OUTPUT
Biex Aħsel ir-regoli kollha tal-iptables.
# iptables --flush
Tweġiba: Ix-xenarju ta' hawn fuq jista' jinkiseb sempliċiment billi tħaddem il-kmand ta' hawn taħt.
# iptables -A INPUT -s 192.168.0.7 -j ACCEPT
Nistgħu ninkludu slash standard jew subnet mask fis-sors bħala:
# iptables -A INPUT -s 192.168.0.7/24 -j ACCEPT # iptables -A INPUT -s 192.168.0.7/255.255.255.0 -j ACCEPT
Tweġiba: B'tama li ssh qed jaħdem fuq il-port 22, li huwa wkoll il-port default għal ssh, nistgħu nżidu regola ma' iptables bħala:
Biex AĊĊETTA pakketti tcp għal servizz ssh (port 22).
# iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT
Biex tirrifjuta pakketti tcp għal servizz ssh (port 22).
# iptables -A INPUT -s -p tcp --dport 22 -j REJECT
Biex tiċħad pakketti tcp għal servizz ssh (port 22).
# iptables -A INPUT -s -p tcp --dport 22 -j DENY
Biex DROP pakketti tcp għal servizz ssh (port 22).
# iptables -A INPUT -s -p tcp --dport 22 -j DROP
Tweġiba: Well kulma għandi bżonn nuża hija l-għażla 'multiport' b'iptables segwit minn numri tal-port li għandhom jiġu mblukkati u x-xenarju ta' hawn fuq jista' jinkiseb f'daqqa waħda.
# iptables -A INPUT -s 192.168.0.6 -p tcp -m multiport --dport 21,22,23,80 -j DROP
Ir-regoli bil-miktub jistgħu jiġu ċċekkjati bl-użu tal-kmand hawn taħt.
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh REJECT all -- anywhere anywhere reject-with icmp-host-prohibited DROP tcp -- 192.168.0.6 anywhere multiport dports ssh,telnet,http,webcache Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination
Intervistatur: Dak kollu ridt nistaqsi. Int impjegat siewi li mhux se nixtiequ nitilfu. Se nirrakkomanda ismek lir-RGħ. Jekk għandek xi mistoqsija tista' tistaqsuni.
Bħala kandidat ma ridtx noqtol il-konversazzjoni u għalhekk nibqa' nistaqsi dwar il-proġetti li nkun qed nittratta jekk jintgħażel u x'inhuma l-ftuħ l-oħra fil-kumpanija. Biex ma nsemmux ir-rawnd HR ma kienx diffiċli biex jinqasam u sibt l-opportunità.
Nixtieq ukoll nirringrazzja lil Avishek u Ravi (li ilni ħabib li jien) talli ħadu l-ħin biex jiddokumentaw l-intervista tiegħi.
Ħbieb! Kieku tajt xi intervista bħal din u tixtieq taqsam l-esperjenza tal-intervista tiegħek ma' miljuni ta' qarrejja ta' Tecmint madwar id-dinja? imbagħad ibgħat il-mistoqsijiet u t-tweġibiet tiegħek lil [email jew tista’ tissottometti l-esperjenza tal-intervista tiegħek billi tuża l-formola li ġejja.
Grazzi! Żomm Konnessi. Għarrafni wkoll jekk stajtx wieġeb mistoqsija b'mod aktar korrett minn dak li għamilt.