13 Intervista Mistoqsijiet fuq Linux iptables Firewall

Nishita Agarwal, Viżitatur frekwenti Tecmint qasmet l-esperjenza tagħha (Mistoqsija u Tweġiba) magħna dwar l-intervista tax-xogħol li kienet għadha kif tat f’kumpanija ta’ hosting ta’ proprjetà privata f’Pune, l-Indja. Hi ġiet mistoqsija ħafna mistoqsijiet dwar varjetà ta 'suġġetti madankollu hija esperta fl-iptables u riedet taqsam dawk il-mistoqsijiet u t-tweġiba tagħhom (hi tat) relatati ma' iptables lil oħrajn li jistgħu jkunu se jagħtu intervista fil-futur qarib.

Il-mistoqsijiet kollha u t-Tweġiba tagħhom huma miktuba mill-ġdid ibbażati fuq il-memorja ta 'Nishita Agarwal.

\Hello Ħbieb! Jisimni Nishita Agarwal. Għandi l-Grad ta' Baċellerat fit-Teknoloġija. Il-qasam ta' Speċjalizzazzjoni tiegħi huwa UNIX u Varjanti ta' UNIX (BSD, Linux) jaffaxxinani minn meta smajtu. Għandi 1+ snin ta' esperjenza fil-ħażna. Kont qed infittex bidla ta’ xogħol li spiċċat b’kumpanija ta’ hosting f’Pune, l-Indja.”

Hawn hu l-ġabra ta’ dak li ġejt mistoqsi waqt l-Intervista. Iddokumentajjt biss dawk il-mistoqsijiet u t-tweġiba tagħhom li kienu relatati ma 'iptables ibbażati fuq il-memorja tiegħi. Nittama li dan jgħinek biex tkisser l-Intervista tiegħek.

Tweġiba: Jien ilni nuża iptables għal żmien pjuttost twil u jien konxju kemm tal-iptables kif ukoll tal-firewall. Iptables huwa programm ta' applikazzjoni miktub l-aktar f'C Programming Language u huwa rilaxxat taħt il-Liċenzja Pubblika Ġenerali tal-GNU. Miktub għall-Lat ta 'amministrazzjoni tas-Sistema, l-aħħar rilaxx stabbli jekk iptables 1.4.21.iptables jistgħu jitqiesu bħala firewall għal sistema operattiva bħal UNIX li tista' tissejjaħ bħala iptables/netfilter, b'mod aktar preċiż. L-Amministratur jinteraġixxi ma 'iptables permezz ta' għodod ta 'quddiem console/GUI biex iżid u jiddefinixxi r-regoli tal-firewall f'tabelli predefiniti. Netfilter huwa modulu mibni ġewwa l-qalba li jagħmel ix-xogħol ta 'filtrazzjoni.

Firewalld hija l-aħħar implimentazzjoni tar-regoli tal-filtrazzjoni f'RHEL/CentOS 7 (jista 'jiġi implimentat f'distribuzzjonijiet oħra li forsi ma nkunx konxju bihom). Issostitwixxa l-interface iptables u jgħaqqad ma 'netfilter.

Tweġiba: Għalkemm użajt kemm l-għodod ta' quddiem ibbażati fuq GUI għal iptables bħal Webmin f'GUI u aċċess dirett għal iptables permezz tal-console.U għandi nammetti li aċċess dirett għal iptables permezz tal-console Linux jagħti lill-utent setgħa immensa fil-forma ta 'grad ogħla ta' flessibilità u fehim aħjar ta 'dak li qed jiġri fl-isfond, jekk mhux xi ħaġa oħra. GUI huwa għall-amministratur novizzi filwaqt li console hija għall-esperjenza.

Tweġiba: iptables u firewalld jaqdu l-istess għan (Packet Filtering) iżda b'approċċ differenti. iptables laħlaħ ir-regoli kollha stabbiliti kull darba li ssir bidla b'differenza mill-firewalld. Tipikament il-post tal-konfigurazzjoni ta' iptables tinsab f''/etc/sysconfig/iptables' filwaqt li l-konfigurazzjoni tal-firewalld tinsab f''/etc/firewalld/', li huwa sett ta' fajls XML.Konfigurazzjoni ta' firewalld ibbażat fuq XML. huwa eħfef meta mqabbel mal-konfigurazzjoni ta 'iptables, madankollu l-istess kompitu jista' jinkiseb billi tuża kemm l-applikazzjoni tal-iffiltrar tal-pakketti jiġifieri, iptables u firewalld. Firewalld iħaddem iptables taħt il-barnuża tiegħu flimkien mal-interface tal-linja tal-kmand tiegħu stess u l-fajl tal-konfigurazzjoni li huwa bbażat fuq XML u qal hawn fuq.

Tweġiba: Jiena familjari ma' iptables u qed jaħdem u jekk m'hemm xejn li jeħtieġ aspett dinamiku ta' firewalld, jidher li m'hemm l-ebda raġuni biex nimigra l-konfigurazzjoni kollha tiegħi minn iptables għal firewalld. Fil-biċċa l-kbira tal-każijiet, s'issa qatt ma rajt iptables joħloq kwistjoni. Ukoll ir-regola ġenerali tat-teknoloġija tal-Informazzjoni tgħid għaliex issewwi jekk ma tinkiserx. Madankollu dan huwa l-ħsieb personali tiegħi u qatt ma niddejjaq nimplimenta firewalld jekk l-Organizzazzjoni se tissostitwixxi iptables ma firewalld.

X'inhuma t-tabelli użati fl-iptables? Agħti deskrizzjoni qasira tat-tabelli użati fl-iptables u l-ktajjen li jappoġġaw.

Tweġiba: Grazzi tar-rikonoxximent. Nimxu għall-parti tal-mistoqsija, Hemm erba 'tabelli użati fl-iptables, jiġifieri huma:

1. Mejda Nat
2. Mejda Mangle
3. Tabella tal-Filtru
4. Mejda mhux ipproċessata

Tabella Nat : Tabella Nat tintuża primarjament għat-Traduzzjoni tal-Indirizz tan-Netwerk. Pakketti masqueraded jiksbu l-indirizz IP tagħhom mibdul skont ir-regoli fit-tabella. Pakketti fil-fluss traversa Nat Table darba biss. Jiġifieri, Jekk pakkett minn jet ta 'Pakketti huwa maskraded huma l-bqija tal-pakketti fil-fluss mhux se travers permezz ta' din it-tabella mill-ġdid. Huwa rakkomandat li ma tiffiltrax f'din it-tabella. Ktajjen Appoġġjati minn Tabella NAT huma PREROUTING Chain, POSTROUTING Chain u OUTPUT Chain.

Tabella Mangle : Kif tissuġġerixxi l-isem, din it-tabella sservi għall-mangling tal-pakketti. Huwa użat għall-alterazzjoni tal-pakkett Speċjali. Jista 'jintuża biex jibdel il-kontenut ta' pakketti differenti u l-intestaturi tagħhom. Mangle table ma tistax tintuża għal Masquerading. Ktajjen appoġġjati huma PREROUTING Chain, OUTPUT Chain, Forward Chain, INPUT Chain, POSTROUTING Chain.

Tabella Iffiltra : Tabella Iffiltra hija t-tabella default użata f'iptables. Jintuża għall-iffiltrar tal-Pakketti. Jekk l-ebda regoli ma huma definiti, Tabella Iffiltra tittieħed bħala tabella default u l-iffiltrar isir fuq il-bażi ta 'din it-tabella. Ktajjen Appoġġjati huma INPUT Katina, OUTPUT Katina, FORWARD Katina.

Tabella mhux ipproċessata : Tabella mhux ipproċessata tidħol fis-seħħ meta rridu nikkonfiguraw pakketti li kienu eżentati qabel. Jappoġġja PREROUTING Chain u OUTPUT Chain.

Tweġiba: Li ġejjin huma l-valuri fil-mira li nistgħu nispeċifikaw fil-mira f'iptables:

1. 1. AĊĊĊETTA : Aċċetta Pakketti
   2. KJU : Paakett Paas għall-ispazju tal-utent (post fejn jirrisjedu l-applikazzjoni u s-sewwieqa)
   3. DROP : Qatra Pakketti
   4. RITORN : Irritorna l-Kontroll għall-katina tas-sejħa u tieqaf tesegwixxi s-sett ta' regoli li jmiss għall-Pakketti attwali fil-katina.

   Kif se Iċċekkja l-iptables rpm li huwa meħtieġ biex tinstalla iptables f'CentOS?.

   Tweġiba: iptables rpm huma inklużi fl-installazzjoni standard CentOS u m'għandniex bżonn ninstallawha separatament. Nistgħu niċċekkjaw l-rpm bħala:

   # rpm -qa iptables
   
   iptables-1.4.21-13.el7.x86_64
   

   Jekk għandek bżonn tinstallah, tista 'tagħmel yum biex tiksbu.

   # yum install iptables-services
   

   Tweġiba: Biex tiċċekkja l-istatus ta' iptables, tista' tħaddem il-kmand li ġej fuq it-terminal.

   # service iptables status			[On CentOS 6/5]
   # systemctl status iptables			[On CentOS 7]
   

   Jekk ma tkunx qed taħdem, il-kmand ta' hawn taħt jista' jiġi eżegwit.

   ---------------- On CentOS 6/5 ---------------- 
   # chkconfig --level 35 iptables on
   # service iptables start
   
   ---------------- On CentOS 7 ---------------- 
   # systemctl enable iptables 
   # systemctl start iptables 
   

   Nistgħu niċċekkjaw ukoll jekk il-modulu iptables huwiex mgħobbi jew le, kif:

   # lsmod | grep ip_tables
   

   Tweġiba: Ir-regoli attwali f'iptables jistgħu jiġu riveduti sempliċi daqs:

   # iptables -L
   

   Output tal-Kampjun

   Chain INPUT (policy ACCEPT)
   target     prot opt source               destination         
   ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
   ACCEPT     icmp --  anywhere             anywhere            
   ACCEPT     all  --  anywhere             anywhere            
   ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
   
   Chain FORWARD (policy ACCEPT)
   target     prot opt source               destination         
   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
   
   Chain OUTPUT (policy ACCEPT)
   target     prot opt source               destination
   

   Tweġiba: Biex tlaħlaħ katina iptables partikolari, tista' tuża l-kmandi li ġejjin.

    
   # iptables --flush OUTPUT
   

   Biex Aħsel ir-regoli kollha tal-iptables.

   # iptables --flush
   

   Tweġiba: Ix-xenarju ta' hawn fuq jista' jinkiseb sempliċiment billi tħaddem il-kmand ta' hawn taħt.

   # iptables -A INPUT -s 192.168.0.7 -j ACCEPT 
   

   Nistgħu ninkludu slash standard jew subnet mask fis-sors bħala:

   # iptables -A INPUT -s 192.168.0.7/24 -j ACCEPT 
   # iptables -A INPUT -s 192.168.0.7/255.255.255.0 -j ACCEPT
   

   Tweġiba: B'tama li ssh qed jaħdem fuq il-port 22, li huwa wkoll il-port default għal ssh, nistgħu nżidu regola ma' iptables bħala:

   Biex AĊĊETTA pakketti tcp għal servizz ssh (port 22).

   # iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT 
   

   Biex tirrifjuta pakketti tcp għal servizz ssh (port 22).

   # iptables -A INPUT -s -p tcp --dport 22 -j REJECT
   

   Biex tiċħad pakketti tcp għal servizz ssh (port 22).

    
   # iptables -A INPUT -s -p tcp --dport 22 -j DENY
   

   Biex DROP pakketti tcp għal servizz ssh (port 22).

    
   # iptables -A INPUT -s -p tcp --dport 22 -j DROP
   

   Tweġiba: Well kulma għandi bżonn nuża hija l-għażla 'multiport' b'iptables segwit minn numri tal-port li għandhom jiġu mblukkati u x-xenarju ta' hawn fuq jista' jinkiseb f'daqqa waħda.

   # iptables -A INPUT -s 192.168.0.6 -p tcp -m multiport --dport 21,22,23,80 -j DROP
   

   Ir-regoli bil-miktub jistgħu jiġu ċċekkjati bl-użu tal-kmand hawn taħt.

   # iptables -L
   
   Chain INPUT (policy ACCEPT)
   target     prot opt source               destination         
   ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
   ACCEPT     icmp --  anywhere             anywhere            
   ACCEPT     all  --  anywhere             anywhere            
   ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
   DROP       tcp  --  192.168.0.6          anywhere             multiport dports ssh,telnet,http,webcache
   
   Chain FORWARD (policy ACCEPT)
   target     prot opt source               destination         
   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
   
   Chain OUTPUT (policy ACCEPT)
   target     prot opt source               destination
   

   Intervistatur: Dak kollu ridt nistaqsi. Int impjegat siewi li mhux se nixtiequ nitilfu. Se nirrakkomanda ismek lir-RGħ. Jekk għandek xi mistoqsija tista' tistaqsuni.

   Bħala kandidat ma ridtx noqtol il-konversazzjoni u għalhekk nibqa' nistaqsi dwar il-proġetti li nkun qed nittratta jekk jintgħażel u x'inhuma l-ftuħ l-oħra fil-kumpanija. Biex ma nsemmux ir-rawnd HR ma kienx diffiċli biex jinqasam u sibt l-opportunità.

   Nixtieq ukoll nirringrazzja lil Avishek u Ravi (li ilni ħabib li jien) talli ħadu l-ħin biex jiddokumentaw l-intervista tiegħi.

   Ħbieb! Kieku tajt xi intervista bħal din u tixtieq taqsam l-esperjenza tal-intervista tiegħek ma' miljuni ta' qarrejja ta' Tecmint madwar id-dinja? imbagħad ibgħat il-mistoqsijiet u t-tweġibiet tiegħek lil [email  jew tista’ tissottometti l-esperjenza tal-intervista tiegħek billi tuża l-formola li ġejja.

   Grazzi! Żomm Konnessi. Għarrafni wkoll jekk stajtx wieġeb mistoqsija b'mod aktar korrett minn dak li għamilt.