9.7 本章习题

  • 为什么我架设了防火墙,我的主机还是可能中毒?防火墙不是万灵丹,他还是可能被病毒或者是木马程序所入侵的! 此外,如果你的主机本身就已经提供了多个网络服务,则当该网络服务的软件有漏洞时, 防火墙仍然无法克服该服务的漏洞的!因此仍然需要持续的进行主机的监视与后端分析工作
  • 请说明为何架设了防火墙,我的主机还是可能被入侵?入侵的依据可能是什么方法?因为防火墙仅是抵挡某些不受欢迎的封包,如果你有开放 WWW 的服务时,则要求你主机 port 80 的封包将可直接进入你的主机,万一 WWW 套件有漏洞时,那么就可能被入侵了!所以软件的更新很重要!
  • 我们知道核心为 2.6 的 Linux 使用的防火墙机制为 iptables ,请问,如何知道我的 Linux 核心版本?利用 uname -r 可以查得!
  • 请列出 iptables 预设的两个主要的 table ,以及各个 table 里面的 chains 与各个 chains 所代表的意义;filter 为预设的 Table,里头预设的链有:

    • INPUT:为来自外部,想要进入主机的封包;
    • OUTPUT:为来自主机,想要离开主机的封包;
    • FORWARD:为主机内部网域与外部网域的封包(不论进或者出),但该封包不会进入主机。
      还有 nat 这个 table:

    • PREROUTING:进行路由之前的封包传送过程

    • OUTPUT:离开主机的封包传送过程;
    • POSTROUTING:已经经过路由了,然后才进行的过滤规则。
  • 什么是 iptables 的预设政策 (Policy)?若我要针对 filter 的 INPUT 做成 DROP 的默认政策,指令如何下达?当封包的所有属性都不在防火墙的规则当中时,那么这个封包能否顺利的通过防火墙,则以 Policy 作为这个封包的最终动作了!iptables -P INPUT DROP

  • 假设今天我的 Linux 仅是作为 Client 之用,并没有对 Internet 进行任何服务, 那么你的防火墙规划应该如何设定比较好?既然没有对 Internet 提供任何服务,那么(1)请将所有的对外埠口先关闭吧!(2)防火墙规则当中,最重要的是 INPUT 的 Policy 一定要 DROP ,然后将『 iptables -A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT 』即可!

  • 我要将来自 192.168.1.50 这个 IP 来源的封包,只要是向我的 21~23 埠口要求的封包,就将他抵挡,应该如何下达 iptables 指令?iptables -A INPUT -p tcp -s 192.168.1.50 —dport 21:23 -j DROP
  • 我要将我自己主机 ping 的响应功能取消,应该如何下达 iptables 的指令?因为 ping 能否响应用的是 icmp 的 type 8 (请参考网络基础内的 ICMP 相关内容),所以我可以这样做:iptables -I INPUT -p icmp —icmp-type 8 -j DROP
  • 请说明为何这个指令是错误的?『iptables -A INPUT -p udp —syn -s 192.168.0.20 -j DROP』?因为只有 TCP 封包才会具有 SYN 的标志, UDP 并没有 SYN 的标志啊!所以上面的指令是错误的
  • DNS 的要求是必须的,那么我该如何设定我的主机可以接受要求 DNS 的响应呢?因为 DNS 的来源是 port 53 ,因此要接受来自 port 53 的封包就成为了:iptables -A INPUT -p udp —sport 53 -j ACCEPTiptables -A INPUT -p tcp —sport 53 -j ACCEPT
  • 如何取消 iptables 在我的系统上面?先要清除规则后,才能够将 iptables 移除!不过,我们主要将规则清除即可!iptables -F; iptables -X; iptables -Ziptables -t nat -F; iptables -t nat -X; iptables -t nat -Z
  • 如何储存目前的防火墙机制,以及如何将上次储存下来的机制回复到目前的系统中?请利用 iptables-save 以及 iptables-restore 这两个指令,配合命令重导向即可! 也可以使用 /etc/init.d/iptables save 来储存喔!
  • 如果你的区网当中有个 PC 使用者老是连上 Internet 乱搞,你想要将他的 IP 锁住,但他总是有办法修改成其他 IP 来连外, 那你该怎么办?让他无法继续连外?可以利用封锁网络卡卡号 MAC 来处理!

原文: https://wizardforcel.gitbooks.io/vbird-linux-server-3e/content/64.html