Nishita Agarwal compartilha sua experiência em entrevista no firewall 'iptables' Linux

Nishita Agarwal compartilha sua experiência em entrevista no firewall 'iptables' Linux

Nishita Agarwal, um frequente Tecmint Visitante compartilhou sua experiência (pergunta e resposta) conosco sobre a entrevista de emprego que ela acabara de dar em uma empresa de hospedagem privada em Pune, Índia. Ela foi feita muitas perguntas sobre vários tópicos, mas é especialista em iptables E ela queria compartilhar essas perguntas e sua resposta (ela deu) relacionada a iptables a outras pessoas que podem dar entrevista no futuro próximo.

Todas as perguntas e sua resposta são reescritas com base na memória de Nishita Agarwal.

"Olá amigos! Meu nome é Nishita Agarwal. Eu fiz diploma de bacharel em tecnologia. Minha área de especialização é Unix e variantes do Unix (BSD, Linux) me fascina desde o momento em que o ouvi. Tenho mais de 1 ano de experiência em armazenamento. Eu estava procurando uma mudança de emprego que terminou com uma empresa de hospedagem em Pune, Índia.”

Aqui está a coleção do que me perguntaram durante a entrevista. Eu documentei apenas essas perguntas e suas respostas relacionadas a iptables com base na minha memória. Espero que isso ajude você a quebrar sua entrevista.

1. Você já ouviu falar de iptables e firewall no Linux? Qualquer idéia do que são e pelo que é usado?

Responder : Eu uso iptables há muito tempo e estou ciente de iptables e firewall. O iptables é um programa de aplicativos escrito principalmente na linguagem de programação C e é lançado sob licença pública geral da GNU. Escrito para o ponto de vista da administração do sistema, o último lançamento estável se iptables 1.4.21.iptables podem ser considerados como firewall para o Sistema Operacional do UNIX, que pode ser chamado como iptables/Netfilter, mais precisamente. O administrador interage com iptables por meio de ferramentas de frente de console/GUI para adicionar e definir regras de firewall em tabelas predefinidas. Netfilter é um módulo construído dentro do kernel que faz o trabalho de filtrar.

Firewalld é a mais recente implementação de regras de filtragem em RHEL/CENTOS 7 (Pode ser implementado em outras distribuições que eu não conheço). Ele substituiu a interface iptables e se conecta ao Netfilter.

2. Você já usou algum tipo de ferramenta de front -end baseada em GUI para iptables ou a linha de comando Linux?

Responder : Embora eu tenha usado as duas ferramentas de front -end baseadas em GUI para iptables como o Shorewall na conjugação de webmin em GUI e acesso direto aos iptables via console.E devo admitir que o acesso direto aos iptables via Linux Console fornece um poder imenso do usuário na forma de maior grau de flexibilidade e melhor compreensão do que está acontecendo em segundo plano, se não qualquer outra coisa. A GUI é para administrador iniciante, enquanto o console é para experiente.

3. Quais são as diferenças básicas entre iptables e firewalld?

Responder : iptables e firewalld serve ao mesmo objetivo (Filtragem de pacotes) mas com abordagem diferente. iptables descarregar todas as regras definidas cada vez que uma alteração é feita diferente do firewalld. Normalmente, a localização da configuração iptables está em '/etc/sysconfig/iptables'Enquanto a configuração do firewalld está em'/etc/firewalld/', que é um conjunto de arquivos XML.Configurar um firewalld baseado em XML é mais fácil em comparação com a configuração de iptables, porém a mesma tarefa pode ser alcançada usando o aplicativo de filtragem de pacotes, ou seja,., iptables e firewalld. O Firewalld executa iptables sob o capô junto com a própria interface da linha de comando e o arquivo de configuração que é baseado em XML e dito acima.

4. Você substituiria iptables por firewalld em todos os seus servidores, se tivesse uma chance?

Responder : Estou familiarizado com os iptables e está funcionando e se não há nada que exija aspecto dinâmico do firewalld, parece não haver razão para migrar toda a minha configuração de iptables para firewalld.Na maioria dos casos, até agora nunca vi iptables criando um problema. Além disso, a regra geral da tecnologia da informação diz “Por que consertar se não estiver quebrado”. No entanto, este é o meu pensamento pessoal e eu nunca me importaria.

5. Você parece confiante com iptables e o ponto positivo é que estamos usando iptables em nosso servidor.

Quais são as mesas usadas em iptables? Dê uma breve descrição das tabelas usadas em iptables e as correntes que eles apoiam.

Responder : Obrigado pelo reconhecimento. Movendo parte da questão, existem quatro tabelas usadas em iptables, a saber, são:

  1. Tabela Nat
  2. Tabela de mangle
  3. Tabela de filtro
  4. Mesa crua

Tabela Nat : A tabela NAT é usada principalmente para tradução de endereço de rede. Os pacotes mascarados obtêm seu endereço IP alterado de acordo com as regras na tabela. Pacotes na tabela Nat Straverse Nat Somente uma vez. ou seja., Se um pacote de um jato de pacotes for disfarçado, eles restantes dos pacotes no fluxo não vão atravessar nesta tabela novamente. Recomenda -se não filtrar nesta tabela. As cadeias suportadas pela tabela NAT são a cadeia de pré -eletência, a cadeia pós -truta e a cadeia de saída.

Tabela de mangle : Como o nome sugere, esta tabela serve para fazer com que os pacotes. É usado para alteração especial de pacotes. Pode ser usado para alterar o conteúdo de diferentes pacotes e seus cabeçalhos. A tabela de mangle não pode ser usada para disfarçar. As cadeias suportadas são a cadeia de pré -eletência, a cadeia de saída, a cadeia de entrada, a cadeia de entrada, a cadeia pós -truta.

Tabela de filtro : Tabela de filtro é a tabela padrão usada em iptables. É usado para filtrar pacotes. Se nenhuma regra for definida, a tabela de filtro será tomada como tabela padrão e a filtragem é feita com base nesta tabela. As correntes suportadas são a cadeia de entrada, a cadeia de saída, a cadeia direta.

Mesa crua : A tabela crua entra em ação quando queremos configurar pacotes isentos anteriormente. Ele suporta cadeia de pré -eletência e cadeia de saída.

6. Quais são os valores de destino (que podem ser especificados no destino) em iptables e o que eles fazem, seja breve!

Responder : A seguir estão os valores -alvo que podemos especificar no Target em iptables:

    1. ACEITAR : Aceite pacotes
    2. FILA : Pacote PaaS para o espaço do usuário (coloque onde o aplicativo e os drivers residem)
    3. DERRUBAR : Pacotes de soltar
    4. RETORNAR : Retorne o controle da cadeia de chamadas e pare de executar o próximo conjunto de regras para os pacotes atuais na cadeia.
7. Vamos passar para os aspectos técnicos dos iptables, por técnico, significa prático.

Como você verificará o RPM iptables que é necessário para instalar iptables no CentOS?.

Responder : iptables rpm estão incluídos na instalação padrão do CentOS e não precisamos instalá -la separadamente. Podemos verificar o RPM como:

# rpm -qa iptables iptables -1.4.21-13.EL7.x86_64 

Se você precisar instalá -lo, pode fazer o yum para obtê -lo.

# yum install iptables services 
8. Como verificar e garantir se o serviço iptables estiver em execução?

Responder : Para verificar o status dos iptables, você pode executar o seguinte comando no terminal.

# Serviço Iptables Status [ON CENTOS 6/5] # status Systemctl iptables [on CENTOS 7] 

Se não estiver em execução, o comando abaixo pode ser executado.

---------------- No CentOS 6/5 ---------------- # chkconfig -nível 35 iptables no # serviço iptables start ---------------- No CentOS 7 ---------------- # SystemCtl Ativar iptables # SystemCtl Iniciar iptables 

Também podemos verificar se o módulo iptables está carregado ou não, como:

# lsmod | Grep ip_tables 
9. Como você revisará as regras atuais definidas em iptables?

Responder : As regras atuais em iptables podem ser revisadas tão simples quanto:

# iptables -l 

Saída de amostra

Entrada da cadeia (Aceitar Política) Destino de fonte de OPT da meta de alvo Aceitar tudo - em qualquer lugar em qualquer lugar relacionado ao estado, Estabelecido Aceitar ICMP - em qualquer lugar em qualquer lugar Aceitar tudo - em qualquer lugar em qualquer lugar aceita tcp - em qualquer lugar em qualquer lugar Estado novo tcp dpt: ssh rejeitar tudo - em qualquer lugar Em qualquer lugar, rejeição com a cadeia proibitada por ICMP-Host (Política aceita) Target Prot Opt Opt Destination Rejeite tudo-em qualquer lugar em qualquer lugar rejeitado com icmp host host em saída de cadeia (política aceita) alvo Opt Opt Destination 
10. Como você vai liberar todas as regras iptables ou uma determinada cadeia?

Responder : Para lavar uma corrente iptables específica, você pode usar os seguintes comandos.

 # iptables -saída de fluxo 

Para liberar todas as regras iptables.

# iptables -flush 
11. Adicione uma regra em iptables para aceitar pacotes de um endereço IP confiável (digamos 192.168.0.7)

Responder : O cenário acima pode ser alcançado simplesmente executando o comando abaixo.

# iptables -a entrada -s 192.168.0.7 -J aceita 

Podemos incluir máscara de barra ou sub -rede padrão na fonte como:

# iptables -a entrada -s 192.168.0.7/24 -J Aceitar # iptables -a entrada -s 192.168.0.7/255.255.255.0 -J Aceitar 
12. Como adicionar regras para aceitar, rejeitar, negar e soltar o serviço SSH em iptables.

Responder : Esperando que a SSH esteja em execução na porta 22, que também é a porta padrão da SSH, podemos adicionar regra aos iptables como:

Para ACEITAR pacotes TCP para serviço SSH (porta 22).

# iptables -a input -s -p tcp - -dport 22 -j aceita 

Para REJEITAR pacotes TCP para serviço SSH (porta 22).

# iptables -a input -s -p tcp - -dport 22 -j rejeitar 

Para NEGAR pacotes TCP para serviço SSH (porta 22).

 # iptables -a input -s -p tcp - -dport 22 -j negar 

Para DERRUBAR pacotes TCP para serviço SSH (porta 22).

 # iptables -a input -s -p tcp - -dport 22 -j gota 
13. Deixe -me te dar um cenário. Diga que há uma máquina cujo endereço IP local é 192.168.0.6. Você precisa bloquear as conexões na porta 21, 22, 23 e 80 para sua máquina. O que você vai fazer?

Responder : Bem, tudo que eu preciso usar é o 'Multiporto'opção com iptables seguidos por números de porta a serem bloqueados e o cenário acima pode ser alcançado em uma única vez.

# iptables -a entrada -s 192.168.0.6 -P TCP -M Multiport - -Dport 21,22,23,80 -j Drop 

As regras escritas podem ser verificadas usando o comando abaixo.

# iptables -l Cadeia de entrada (política Aceitar) Destino de origem Opt Opt Acept Aceitar tudo -em qualquer lugar relacionado ao estado, Estado aceito ICMP -em qualquer lugar de qualquer lugar aceita tudo -em qualquer lugar em qualquer lugar aceita tcp -em qualquer lugar em qualquer lugar Estado novo tcp dpt: ssh rejeit Todos-em qualquer lugar em qualquer lugar rejeitar-com o ICMP-Host-Proibido Drop TCP-192.168.0.6 Anywhere multiporta Dports SSH, Telnet, HTTP, Webcache Chain Forward (Policy Acep) Target Prot Opt Fonte Destination Rejeitá tudo-em qualquer lugar em qualquer lugar rejeitado com icmp host-host saídas da cadeia (Policy Acep) 

Entrevistador : Isso é tudo que eu queria perguntar. Você é um funcionário valioso que não gostaremos de perder. Vou recomendar seu nome ao RH. Se você tiver alguma dúvida, você pode me perguntar.

Como candidato, eu não queria matar a conversa, continue perguntando sobre os projetos que eu estaria lidando se selecionado e quais são as outras aberturas da empresa. Sem mencionar que a rodada de RH não foi difícil de quebrar e tive a oportunidade.

Também gostaria de agradecer Avishek e Ravi (quem sou amigo há muito) por reservar um tempo para documentar minha entrevista.

Amigos! Se você tivesse dado uma entrevista e gostaria de compartilhar sua experiência em entrevista a milhões de leitores de Tecmint em todo o mundo? Em seguida, envie suas perguntas e respostas para [Email protegido] Ou você pode enviar sua experiência em entrevista usando o seguinte formulário.

Compartilhe sua experiência de entrevista

Obrigado! Mantenha -se conectado. Deixe -me saber se eu poderia ter respondido uma pergunta mais corretamente do que eu fiz.