《Centos 7——ファイアウォールの練習問題一》
6486 ワード
目次 Iptablesファイアウォール 1. オープン80ポート 2. NIC HTTPアクセス禁止 3. TCPインバウンド禁止 一、選択問題 三、実験問題
Iptablesファイアウォール
1.オープン80ポート
Webホストのインバウンドルールを作成し、pingを許可し、80ポートを開放する
2.NIC HTTPアクセス禁止
iptablesルールを作成し、eth 1ネットワークカードからのHTTPアクセス要求を禁止する
3.TCPインバウンド接続禁止
iptablesルールを作成し、すべての外部のTCPインバウンド接続を禁止するが、外部ネットワークに対して自機TCP要求に応答するパケットは通行を許可する
一、選択問題下図のようにXPにWEBというサービスにアクセスさせたいだけで、他のサービスは禁止されているので、真ん中のファイアウォールに設置する必要があるルールは(ABD)[選択3]
である.
A.iptables -P FORWARD DROP B.iptables -A FORWARD -p tcp --dport 80 -j ACCEPT C.iptables -A FORWARD -p tcp --sport 80 -j ACCEPT D.ptables -A INPUT -p tcp --dport 80 -j ACCEPT一台のサーバー上で、すべての人がリモートsshでこのサーバーを管理することを禁止し、以下のどのルールが実現できるか(AB)[選択2項]A.iptables-A INPUT-p tcp--dport 22-j DROP B.iptables-A PREROUTING-p tcp--dport 22-j DROP C.iptables-A OUTPUT-p tcp--sport 22-j DROP D.iptables-A POSTOUTING-p tcp--sport 22-j DROP マルチポート番号マッチングを設定する際に必要なパラメータは(B)[2項目選択]a)moreport B.multiport C.portmulti D.muchport である. ipアドレス範囲を設定際に指定するパラメータは(C)[1項目選択]A.range B.rangeip C.iprange D.multiip である. DROPとREJECTの違いは(AB)[選択2項]A.DROP直接パケットを破棄B.REJECTパケットを破棄すると送信側に1つの応答情報C._が送る動作を記録D.両方とも破棄 である. iptablesの4つのルールテーブルの説明が正しいのは(BD)[選択2項]A.filterテーブルがアドレス変換を担当するB.rawテーブルが状態追跡を担当するC.natテーブルがパケットフィルタを担当するD.mangleテーブルが流量整形 を実現できることである. iptablesファイアウォールにはいくつかの動作があるが、以下の各動作についての記述が正しいのは(CD)[選択2項]A.REJECTが直接パケットB.DROPを破棄してパケットを拒否し、データ送信側に応答情報C.ACCEPTがパケットD.LOGを介して一致する情報をログに記録することを許可する を送信する. iptablesファイアウォールに関する記述の中で正しいのは(A)[1つを選択]==A.iptablesファイアウォールのすべての動作は「マッチング・ストップ」の原則==B.iptablesファイアウォールに「マッチング・ストップ」が存在するの特例C.ファイアウォールのログは/var/log/iptablesファイルに記録するD.ファイアウォールのログは/var/log/iptablesに記録する.logファイル RHEL 6サーバにおいて、以下のiptablesルールを順次設定すると、このポリシー設定に従ってクライアント192.168から.12.48のpingファイアウォールのパケットは(B)になります.(1つ選択)iptables-F INPUT iptables-I INPUT-p icmp-s 192.168.12.0/24 -j LOG iptables -I INPUT -p icmp -s 192.168.12.0/24 -j DROP iptables -A INPUT -p icmp -j REJECT iptables -P INPUT ACCEPT A.LOG B.DROP C.REJECT D.ACCEPT は、3つのルールのマッチング条件について、説明が正しいのは(BD)[選択2項]A.独立して使用することができ、他の条件や拡張モジュールに依存する必要がない「暗黙マッチング」B.「表示マッチング」C.「汎用マッチング」は独立して使用できない==D.「暗黙マッチング」は「サブ条件」== に相当する.
二、簡単な答え11.Linuxファイアウォールシステムでnetfilterとiptablesの関係は何ですか?
答え:netfilterはカーネル空間でパケットフィルタファイアウォールを実現する機能体系である.iptablesは、ファイアウォールポリシーを管理および設定するためのユーザースペースの管理ツールです.
2.netfilterファイアウォールのデフォルトのルール・テーブル、チェーン構造を簡単に説明します.
答:デフォルトは4つのテーブル、5つのルールチェーンを含み、それぞれfilterテーブル(INPUT,OUTPUT,FOrWARD)、natテーブル(OUTPUT、PREROUTING、POSTOROUTING)、mangleテーブル(INPUT、OUTPUT、FOrWARD、PREROUTING、POSTOROUTING)、rawテーブル(OUTPUT、PREROUTING)である.
3.eth 1 NICからのHTTPアクセス要求を禁止するiptablesルールを作成します.
答:iptables-I INPUT-i eth 1-p tcp--dport 80-j REJECT iptablesルールを記述し、すべての外部のTCPインバウンド接続を禁止するが、外部ネットワークに対してローカルTCP要求に応答するパケットは通行を許可しなければならない.
答:iptables-I INPUT-p tcp-j DROP iptables-I INPUT-p tcp-m state--state ESTABLISHED-j ACCEPT
5.iptablesルールを作成し、ローカルエリアネットワークユーザーがインターネットにアクセスしてDNSクエリーを行うプロセスに対して、ファイアウォールを通じて転送することを許可し、ファイアウォールの外部ネットワークインタフェースはeth 1である.
答:iptables-I FOrWARD-o eth 1-p udp--dport 53-j ACCEPT iptables-I FOrWARD-i eth 1-p udp--dport 53-j ACCEPT
三、実験問題
1.教室実験実験環境——会社のWebサーバー、ネットワーク管理サーバーはすべてRHEL 6オペレーティングシステムを採用して、図のように、ネットワークアクセスの安全性を強化するために、管理者にiptablesファイアウォール規則の作成を熟知して、有効で実行可能なホスト防護戦略を制定するように要求する.実験要求——ウェブサイトのサーバーのために展覧規則を編纂する:自機pingテスト要求に応答する各種ICMPパケットを受信することを許可する.本機の80ポートにあるWebサービスへのアクセスを許可し、他のポートへのTCP要求へのアクセスを禁止する.ローカルに送信して、リンクまたは既存のリンクに関連する様々なTCPパケットを確立することができる.他の任意の形式のインバウンド・アクセス・データを禁止します.ネットワーク管理サーバの転送ルールの作成:ローカルエリアネットワーク内のホストがインターネット内のWeb DNSメールサービスにアクセスできるようにします.ローカルエリアネットワーク内のホストのwebアクセスを禁止する.qq.com w.qq.com im.qq.comなどのサイトでは、WebQQでのオンラインチャットを防止しています.
答:iptables-F iptables-X iptables-Z Iptables-P INPUT-j DROP Iptables-L INPUT Iptables-A INPUT-p icmp--icmp-type 8-j ACCEPT Iptables-A INPUT-p tcp--dport 80-j ACCEPT Iptables-A INPUT-p tcp-m state--state ESTABLISHED,RELATE D-J ACCEPT
2.授业后の実験実験环境--会社のWebサーバー、ネット管理サーバーはすべてcentos 6オペレーティングシステムを采用して、図のように、ネットアクセスの安全性を强化するために、管理者にiptablesファイアウォールの规则の编纂を熟知して、有効で実行可能なホストの防護策略を制定するように要求します.実験要求——ウェブサイトのサーバーのために展覧規則を編纂する:自機pingテスト要求に応答する各種ICMPパケットを受信することを許可する.本機の80ポートにあるWebサービスへのアクセスを許可し、他のポートへのTCP要求へのアクセスを禁止する.ローカルに送信して、リンクまたは既存のリンクに関連する様々なTCPパケットを確立することができる.他の任意の形式のインバウンド・アクセス・データを禁止します.ネットワーク管理サーバの転送ルールの作成:ローカルエリアネットワーク内のホストがインターネット内のWeb DNSメールサービスにアクセスできるようにします.ローカルエリアネットワーク内のホストのwebアクセスを禁止する.qq.com w.qq.com im.qq.comなどのサイトでは、
Iptablesファイアウォール
1.オープン80ポート
Webホストのインバウンドルールを作成し、pingを許可し、80ポートを開放する
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -t filter -I OUTPUT -p tcp --dport 80 -j ACCEPT
2.NIC HTTPアクセス禁止
iptablesルールを作成し、eth 1ネットワークカードからのHTTPアクセス要求を禁止する
[root@localhost ~]# iptables -I INPUT -i eth1 -p tcp --dport 80 -j REJECT
3.TCPインバウンド接続禁止
iptablesルールを作成し、すべての外部のTCPインバウンド接続を禁止するが、外部ネットワークに対して自機TCP要求に応答するパケットは通行を許可する
[root@localhost ~]# iptables -I INPUT -p tcp -j DROP
[root@localhost ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
一、選択問題
A.iptables -P FORWARD DROP B.iptables -A FORWARD -p tcp --dport 80 -j ACCEPT C.iptables -A FORWARD -p tcp --sport 80 -j ACCEPT D.ptables -A INPUT -p tcp --dport 80 -j ACCEPT
二、簡単な答え11.Linuxファイアウォールシステムでnetfilterとiptablesの関係は何ですか?
答え:netfilterはカーネル空間でパケットフィルタファイアウォールを実現する機能体系である.iptablesは、ファイアウォールポリシーを管理および設定するためのユーザースペースの管理ツールです.
2.netfilterファイアウォールのデフォルトのルール・テーブル、チェーン構造を簡単に説明します.
答:デフォルトは4つのテーブル、5つのルールチェーンを含み、それぞれfilterテーブル(INPUT,OUTPUT,FOrWARD)、natテーブル(OUTPUT、PREROUTING、POSTOROUTING)、mangleテーブル(INPUT、OUTPUT、FOrWARD、PREROUTING、POSTOROUTING)、rawテーブル(OUTPUT、PREROUTING)である.
3.eth 1 NICからのHTTPアクセス要求を禁止するiptablesルールを作成します.
答:iptables-I INPUT-i eth 1-p tcp--dport 80-j REJECT
答:iptables-I INPUT-p tcp-j DROP iptables-I INPUT-p tcp-m state--state ESTABLISHED-j ACCEPT
5.iptablesルールを作成し、ローカルエリアネットワークユーザーがインターネットにアクセスしてDNSクエリーを行うプロセスに対して、ファイアウォールを通じて転送することを許可し、ファイアウォールの外部ネットワークインタフェースはeth 1である.
答:iptables-I FOrWARD-o eth 1-p udp--dport 53-j ACCEPT iptables-I FOrWARD-i eth 1-p udp--dport 53-j ACCEPT
三、実験問題
1.教室実験実験環境——会社のWebサーバー、ネットワーク管理サーバーはすべてRHEL 6オペレーティングシステムを採用して、図のように、ネットワークアクセスの安全性を強化するために、管理者にiptablesファイアウォール規則の作成を熟知して、有効で実行可能なホスト防護戦略を制定するように要求する.実験要求——ウェブサイトのサーバーのために展覧規則を編纂する:自機pingテスト要求に応答する各種ICMPパケットを受信することを許可する.本機の80ポートにあるWebサービスへのアクセスを許可し、他のポートへのTCP要求へのアクセスを禁止する.ローカルに送信して、リンクまたは既存のリンクに関連する様々なTCPパケットを確立することができる.他の任意の形式のインバウンド・アクセス・データを禁止します.ネットワーク管理サーバの転送ルールの作成:ローカルエリアネットワーク内のホストがインターネット内のWeb DNSメールサービスにアクセスできるようにします.ローカルエリアネットワーク内のホストのwebアクセスを禁止する.qq.com w.qq.com im.qq.comなどのサイトでは、WebQQでのオンラインチャットを防止しています.
答:iptables-F iptables-X iptables-Z Iptables-P INPUT-j DROP Iptables-L INPUT Iptables-A INPUT-p icmp--icmp-type 8-j ACCEPT Iptables-A INPUT-p tcp--dport 80-j ACCEPT Iptables-A INPUT-p tcp-m state--state ESTABLISHED,RELATE D-J ACCEPT
Iptables -A FORWARD -p udp --sport 53 -i eth0 -j ACCEPT
for i in `cat ip.txt`
do
Iptables -I FORWARD -d $i -p tcp -m multiport --dport 80,443 -j DROP
done
service $IPT save
2.授业后の実験実験环境--会社のWebサーバー、ネット管理サーバーはすべてcentos 6オペレーティングシステムを采用して、図のように、ネットアクセスの安全性を强化するために、管理者にiptablesファイアウォールの规则の编纂を熟知して、有効で実行可能なホストの防護策略を制定するように要求します.実験要求——ウェブサイトのサーバーのために展覧規則を編纂する:自機pingテスト要求に応答する各種ICMPパケットを受信することを許可する.本機の80ポートにあるWebサービスへのアクセスを許可し、他のポートへのTCP要求へのアクセスを禁止する.ローカルに送信して、リンクまたは既存のリンクに関連する様々なTCPパケットを確立することができる.他の任意の形式のインバウンド・アクセス・データを禁止します.ネットワーク管理サーバの転送ルールの作成:ローカルエリアネットワーク内のホストがインターネット内のWeb DNSメールサービスにアクセスできるようにします.ローカルエリアネットワーク内のホストのwebアクセスを禁止する.qq.com w.qq.com im.qq.comなどのサイトでは、