Nishita Agarwal teilt ihre Interviewerfahrung unter Linux 'iptables' Firewall

Nishita Agarwal, ein häufiges Tecmint Besucher teilte uns ihre Erfahrungen (Frage und Antwort) mit uns über das Vorstellungsgespräch, das sie gerade in einem in Privatbesitz befindlichen Gastgeberfirma gegeben hatte Pune, Indien. Sie wurde viele Fragen zu einer Vielzahl von Themen gestellt, aber sie ist eine Expertin in iptables Und sie wollte diese Fragen und ihre Antwort (sie gab) mit Iptables an andere teilen, die in naher Zukunft möglicherweise ein Interview geben werden.

Alle Fragen und ihre Antwort werden nach der Erinnerung an umgeschrieben Nishita Agarwal.

"Hallo Freunde! Ich heiße Nishita Agarwal. Ich habe einen Bachelor -Abschluss in Technologie gemacht. Mein Spezialisierungsbereich ist UNIX und Varianten von Unix (BSD, Linux) fasziniert mich, seit ich es gehört habe. Ich habe mehr als 1 Jahre Erfahrung im Speicherplatz. Ich suchte nach einem Jobwechsel, der mit einem Hosting -Unternehmen in Pune, Indien, endete.”

Hier ist die Sammlung von dem, was mir während des Interviews gefragt wurde. Ich habe nur diese Fragen und ihre Antwort dokumentiert, die sich auf Iptables beziehen, die auf meinem Gedächtnis basieren. Ich hoffe, dies wird Ihnen helfen, Ihr Interview zu knacken.

1. Haben Sie von Iptables und Firewall unter Linux gehört?? Jede Vorstellung davon, was sie sind und was es verwendet wird?

Antworten : Ich benutze Iptables schon seit langem und bin mir sowohl Iptables als auch Firewall bewusst. Iptables ist ein Anwendungsprogramm, das hauptsächlich in der C -Programmiersprache geschrieben wurde und unter GNU General Public Lizenz veröffentlicht wird. Geschrieben für die Sichtweise der Systemverwaltung, die neueste stabile Veröffentlichung If iptables 1.4.21.Iptables können als Firewall für Unix -ähnliches Betriebssystem angesehen werden, das als als aufgerufen werden kann iptables/Netfilter, genauer. Der Administrator interagiert mit Iptables über Konsolen-/GUI -Tools zum Hinzufügen und Definieren von Firewall -Regeln in vordefinierte Tabellen. Netfilter ist ein Modul, das im Kernel gebaut wurde, das die Filterung erledigt.

Firewall ist die jüngste Umsetzung von Filterregeln in Rhel/Centos 7 (Kann in anderen Verteilungen implementiert werden, die mir möglicherweise nicht bekannt ist). Es hat die Iptables -Schnittstelle ersetzt und stellt eine Verbindung zu NetFilter her.

2. Haben Sie eine Art GUI -basierte Front -End -Tool für Iptables oder die Linux -Befehlszeile verwendet??

Antworten : Obwohl ich sowohl die GUI -basierten Front -End -Tools für Iptables wie Shorewall in Konjugation von Webmin in GUI als auch direkten Zugriff auf Iptables verwendet habe.Und ich muss zugeben, dass der direkte Zugriff auf Iptables über Linux -Konsole einem benutzermengen Kraft in Form eines höheren Grads an Flexibilität und besserem Verständnis dafür gibt, was im Hintergrund vor sich geht, wenn nicht. GUI ist für Anfänger -Administrator, während die Konsole für erfahrene ist.

3. Was sind die grundlegenden Unterschiede zwischen Iptables und Firewalld?

Antworten : Iptables und Firewalld erfüllen den gleichen Zweck (Paketfilterung) aber mit unterschiedlichem Ansatz. Iptables spülen die gesamten Regeln, die jedes Mal festgelegt werden, wenn eine Änderung im Gegensatz zu Firewall vorgenommen wird. In der Regel liegt der Ort der Iptables -Konfiguration bei '/etc/sysconfig/iptables"Während der Firewalld -Konfiguration liegt bei"/etc/Firewalld/', das ist ein Satz von XML -Dateien.Das Konfigurieren einer XML -basierten Firewalld ist im Vergleich zur Konfiguration von iPTables einfacher. Die gleiche Aufgabe kann jedoch mit beiden Paketfilteranwendungen erfüllt werden, dh dh dh dh dh dh dh dh dh dh dh dh ie., Iptables und Firewall. Firewalld führt Iptables unter seiner Motorhaube zusammen mit seiner eigenen Befehlszeilenschnittstelle und Konfigurationsdatei aus, die XML basiert und oben gesagt hat.

4. Würden Sie Iptables durch eine Firewalld auf allen Ihren Servern ersetzen, wenn Sie eine Chance geben??

Antworten : Ich bin mit Iptables vertraut und es funktioniert und wenn nichts dynamischer Aspekt von Firewalld erfordert, scheint es keinen Grund, alle meine Konfiguration von Iptables zu Firewall zu migrieren.In den meisten Fällen habe ich bisher noch nie gesehen, dass Iptables ein Problem verursacht hat. Auch die allgemeine Regel der Informationstechnologie sagt: „Warum reparieren, wenn sie nicht gebrochen ist“. Dies ist jedoch mein persönlicher Gedanke, und es würde mir nichts aussehen, Firewall zu implementieren, wenn die Organisation Iptables durch Firewall ersetzen will.

5. Sie scheinen mit Iptables sicher zu sein, und der Plus -Punkt besteht darin, dass wir Iptables auf unserem Server verwenden.

Was sind die Tabellen, die in iptables verwendet werden?? Geben Sie eine kurze Beschreibung der in iptables verwendeten Tabellen und der Ketten, die sie unterstützen.

Antworten : Danke für die Anerkennung. Wenn Sie sich in Frage stellen, werden in iptables vier Tabellen verwendet, nämlich: sie sind:

1. Nat Tabelle
2. Mangle Table
3. Filtertabelle
4. Roher Tisch

Nat Tabelle : NAT -Tabelle wird hauptsächlich für die Übersetzung von Netzwerkadressen verwendet. Maskierte Pakete lassen ihre IP -Adresse gemäß den Regeln in der Tabelle geändert. Pakete im Stream Traverse Nat -Tabelle nur einmal. dh., Wenn ein Paket aus einem Paketstrahl tarben. Es wird empfohlen, in dieser Tabelle nicht zu filtern. Ketten, die durch NAT -Tabelle unterstützt werden.

Mangle Table : Wie der Name schon sagt, dient dieser Tisch für die Mist der Pakete. Es wird für eine spezielle Paketänderung verwendet. Es kann verwendet werden, um den Inhalt verschiedener Pakete und deren Header zu ändern. Mangle Table kann nicht zum Maskieren verwendet werden. Unterstützte Ketten sind Vorankette, Ausgangskette, Vorwärtskette, Eingangskette, Post -Strouting -Kette.

Filtertabelle : Filtertabelle ist die Standardtabelle, die in iptables verwendet wird. Es wird zum Filterpaketen verwendet. Wenn keine Regeln definiert werden. Stützte Ketten sind Eingangskette, Ausgangskette, Vorwärtskette.

Roher Tisch : RAW -Tabelle tritt in Aktion, wenn wir Pakete konfigurieren möchten, die früher befreit wurden. Es unterstützt die Voranlaufkette und die Ausgangskette.

6. Was sind die Zielwerte (die in Target angegeben werden können) in iptables und was sie tun, sei kurz?!

Antworten : Im Folgenden finden Sie die Zielwerte, die wir in iptables in Ziel angeben können:

1. 1. AKZEPTIEREN : Akzeptieren Sie Pakete
   2. WARTESCHLANGE : PAAS -Paket zum Benutzerraum (Ort, an dem sich Anwendung und Treiber befinden)
   3. TROPFEN : Drop -Pakete
   4. ZURÜCKKEHREN : Rückgabekontrolle in die Anrufkette zurück und aufhören, die nächsten Regeln für die aktuellen Pakete in der Kette auszuführen.

7. Übergehen wir zu den technischen Aspekten von iptables, mit technischer Bedeutung, ich meine praktisch.

Wie werden Sie Iptables -Drehzahl überprüfen, die für die Installation von Iptables in CentOS erforderlich sind?.

Antworten : IPTables -Drehzahl sind in der Standard -CentOS -Installation enthalten und wir müssen sie nicht separat installieren. Wir können die Drehzahl als:

# RPM -qa iptables iptables -1.4.21-13.EL7.x86_64 

Wenn Sie es installieren müssen, können Sie es tun, um es zu bekommen.

# yum install iptables services 

8. So überprüfen Sie und stellen Sie sicher, ob der Iptables -Service ausgeführt wird?

Antworten : Um den Status von Iptables zu überprüfen, können Sie den folgenden Befehl auf dem Terminal ausführen.

# Service iptables Status [auf CentOS 6/5] # systemctl Status iptables [on Centos 7] 

Wenn es nicht ausgeführt wird, kann der folgende Befehl ausgeführt werden.

---------------- Auf Centos 6/5 ---------------- # chkconfig -Level 35 iptables on # service iptables starten ---------------- Auf Centos 7 ---------------- # SystemCTL aktivieren iptables # SystemCtl Start iptables 

Wir können auch überprüfen, ob das Iptables -Modul geladen ist oder nicht, wie:

# lsmod | grep ip_tables 

9. Wie werden Sie die in iptables definierten aktuellen Regeln überprüfen?

Antworten : Die aktuellen Regeln in iptables können so einfach überprüft werden wie:

# iptables -l 

Probenausgabe

Ketteneingabe (Richtlinien Akzeptieren) Zielprotopt -Quellziel Akzeptieren Sie alle - überall überall staatliche, festgelegte, festgelegte ICMP - überall überall - Akzeptieren Sie alle überall überall, Akzeptieren von TCP - überall überall. Anywhere Reject-with ICMP-Host-herzbesessenes Ketten-Forward (Richtlinien Akzeptieren) Zielprotopt 

10. Wie werden Sie alle Iptables -Regeln oder eine bestimmte Kette spülen?

Antworten : Um eine bestimmte Iptables -Kette zu spülen, können Sie folgende Befehle verwenden.

 # iptables -Flush -Ausgabe 

Alle Iptables -Regeln zu spülen.

# iptables -Flush 

11. Fügen Sie eine Regel in iptables hinzu, um Pakete aus einer vertrauenswürdigen IP -Adresse zu akzeptieren (z. B. 192.168.0.7)

Antworten : Das obige Szenario kann einfach erreicht werden, indem Sie den folgenden Befehl ausführen.

# iptables -a Eingabe -S 192.168.0.7 -j akzeptieren 

Wir können Standard -Slash- oder Subnetzmaske in die Quelle einbeziehen wie:

# iptables -a Eingabe -S 192.168.0.7/24 -J Akzeptieren Sie # iptables -a Eingabe -S 192.168.0.7/255.255.255.0 -j akzeptieren 

12. So fügen Sie Regeln hinzu, um den SSH -Service in iptables zu akzeptieren, abzulehnen, zu verweigern und abzugeben.

Antworten : In der Hoffnung, dass SSH auf Port 22 ausgeführt wird, was auch der Standardport für SSH ist, können wir Iptables als:

Zu AKZEPTIEREN TCP -Pakete für SSH -Dienst (Port 22).

# iptables -a Eingabe -s -p tcp - -dort 22 -j Akzeptieren 

Zu ABLEHNEN TCP -Pakete für SSH -Dienst (Port 22).

# iptables -a Eingabe -s -p tcp - -dort 22 -J Ablehnung 

Zu LEUGNEN TCP -Pakete für SSH -Dienst (Port 22).

 # iptables -a Eingabe -s -p tcp - -dort 22 -j leugnen 

Zu TROPFEN TCP -Pakete für SSH -Dienst (Port 22).

 # iptables -a Eingabe -s -p tcp - -dort 22 -j Drop 

13. Lassen Sie mich Ihnen ein Szenario geben. Sagen Sie, es gibt eine Maschine, die die lokale IP -Adresse von 192 ist.168.0.6. Sie müssen Verbindungen auf Port 21, 22, 23 und 80 an Ihre Maschine blockieren. Was werden Sie tun?

Antworten : Nun, alles was ich verwenden muss, ist das 'Multiport'Option mit iptables, gefolgt von Portnummern, die blockiert werden sollen, und das obige Szenario kann in einem einzigen GO AS erreicht werden.

# iptables -a Eingabe -S 192.168.0.6 -p tcp -m Multiport - -dort 21,22,23,80 -j Drop 

Die schriftlichen Regeln können mit dem folgenden Befehl überprüft werden.

# iptables -l -Ketteneingabe (Richtlinien akzeptieren) Zielprotopt ALLE-überall überall abgelehnt-mit ICMP-Host-herzlosen Drop TCP-192.168.0.6 Anywhere Multiport Dorts SSH, Telnet, HTTP, Webcache-Kette-Stürmer (Richtlinie Akzeptieren) Zielprott-Opt-Opt-Quelle-Ziel-Ziel-überall hin-überall abgelehnt mit ICMP-Host-prohbe-ketten-Ausgangsziel 

Interviewer : Das ist alles, was ich fragen wollte. Sie sind ein wertvoller Angestellter, den wir nicht gerne vermissen möchten. Ich werde Ihren Namen der Personalabteilung empfehlen. Wenn Sie eine Frage haben, stellen Sie mir möglicherweise die Frage.

Als Kandidat wollte ich das Gespräch nicht töten, daher frage ich immer wieder nach den Projekten, die ich ausgewählt habe und was die anderen Öffnungen im Unternehmen sind. Ganz zu schweigen von HR Round war nicht schwer zu knacken, und ich bekam die Gelegenheit.

Ich möchte auch danken Avishek Und Ravi (wen ich seit langem ein Freund bin), weil er sich die Zeit genommen hat, mein Interview zu dokumentieren.

Freunde! Wenn Sie ein solches Interview gegeben haben und Ihre Interviewerfahrung Millionen von Tecmint -Lesern auf der ganzen Welt teilen möchten? Senden Sie dann Ihre Fragen und Antworten an [E -Mail geschützt] oder Sie können Ihre Interviewerfahrung mit dem folgenden Formular einreichen.

Danke! Bleiben in Verbindung. Lassen Sie mich auch wissen, ob ich eine Frage korrekter hätte beantworten können als das, was ich getan habe.