13 Mga Pangutana sa Interbyu sa Linux iptables Firewall

Si Nishita Agarwal, usa ka kanunay nga Bisita sa Tecmint mipaambit sa iyang kasinatian (Pangutana ug Tubag) kanamo bahin sa interbyu sa trabaho nga bag-o lang niyang gihatag sa usa ka pribadong gipanag-iya nga hosting company sa Pune, India. Gipangutana siya sa daghang mga pangutana bahin sa lainlaing mga hilisgutan bisan pa usa siya ka eksperto sa iptables ug gusto niya nga ipaambit ang mga pangutana ug ang ilang tubag (iyang gihatag) nga may kalabotan sa iptables sa uban nga mahimong maghatag interbyu sa umaabot nga umaabot.

Ang tanan nga mga pangutana ug ang ilang Tubag gisulat pag-usab base sa panumduman ni Nishita Agarwal.

\Kumusta Mga Higala! Ang akong ngalan mao si Nishita Agarwal. Nagpadayon ako sa Bachelor Degree sa Teknolohiya. Ang akong lugar sa Espesyalista mao ang UNIX ug ang mga Variant sa UNIX (BSD, Linux) nakadani kanako sukad sa pagkadungog nako niini. Ako adunay 1+ ka tuig nga kasinatian Nangita ko og kausaban sa trabaho nga natapos sa usa ka hosting company sa Pune, India.

Ania ang koleksyon sa kung unsa ang gipangutana kanako sa panahon sa Interbyu. Gidokumento ra nako ang mga pangutana ug ang ilang tubag nga adunay kalabotan sa mga iptable nga gibase sa akong panumduman. Hinaot makatabang kini kanimo sa pag-crack sa imong Interbyu.

Tubag : Dugay na kong naggamit ug iptables ug nahibalo ko sa iptables ug firewall. Ang Iptables usa ka programa sa aplikasyon nga kasagaran gisulat sa C Programming Language ug gipagawas ubos sa GNU General Public License. Gisulat para sa System administration point of view, ang pinakabag-o nga stable release kung iptables 1.4.21.iptables mahimong isipon nga firewall para sa UNIX sama sa operating system nga matawag nga iptables/netfilter, mas tukma. Ang Administrator nakig-interact sa mga iptables pinaagi sa console/GUI front end tools aron idugang ug ipasabot ang firewall rules ngadto sa predefined tables. Ang Netfilter usa ka module nga gitukod sa sulod sa kernel nga naghimo sa trabaho sa pagsala.

Ang Firewalld mao ang pinakabag-o nga pagpatuman sa mga lagda sa pagsala sa RHEL/CentOS 7 (mahimong ipatuman sa ubang mga pag-apod-apod nga dili nako mahibal-an). Gipulihan niini ang interface sa iptables ug nagkonektar sa netfilter.

Tubag : Bisan akong gigamit ang GUI based front end tools para sa mga iptables sama sa Webmin sa GUI ug Direct access sa iptables pinaagi sa console.Ug kinahanglan nakong dawaton kanang direktang pag-access sa Ang iptables pinaagi sa Linux console naghatag sa usa ka tiggamit og dako nga gahum sa porma sa mas taas nga ang-ang sa pagka-flexible ug mas maayo nga pagsabut sa kung unsa ang nahitabo sa background, kung dili bisan unsa pa. Ang GUI alang sa bag-ong tigdumala samtang ang console alang sa eksperyensiyado.

Tubag : iptables ug firewalld nagsilbi sa parehas nga katuyoan (Packet Filtering) apan lahi ang pamaagi. Ang mga iptables nag-flush sa tibuok nga mga lagda nga gitakda sa matag higayon nga ang usa ka pagbag-o gihimo dili sama sa firewalld. Kasagaran ang lokasyon sa iptables configuration anaa sa '/etc/sysconfig/iptables' samtang ang firewalld configuration anaa sa '/etc/firewalld/', nga usa ka set sa XML files.Pag-configure sa XML based firewalld mas sayon kon itandi sa pag-configure sa mga iptables, bisan pa ang parehas nga buluhaton mahimong makab-ot gamit ang packet filtering application ie., iptables ug firewalld. Ang Firewalld nagpadagan sa mga iptable sa ilawom sa iyang hood kauban ang kaugalingon nga command line interface ug configuration file nga gibase sa XML ug giingon sa ibabaw.

Tubag : Familiar ko sa mga iptable ug kini nagtrabaho ug kung walay bisan unsa nga nagkinahanglan sa dinamikong aspeto sa firewalld, morag walay rason nga ibalhin ang tanan nakong configuration gikan sa iptables ngadto sa firewalld. Sa kadaghanan sa mga kaso, hangtod karon wala pa ako nakakita sa mga iptable nga nagmugna usa ka isyu. Usab ang kinatibuk-ang lagda sa teknolohiya sa Impormasyon nag-ingon nga ngano nga ayohon kung wala kini mabuak. Bisan pa kini ang akong personal nga hunahuna ug dili gyud nako igsapayan ang pagpatuman sa firewalld kung ang Organisasyon magpuli sa mga iptable sa firewalld.

Unsa ang mga lamesa nga gigamit sa iptables? Paghatag usa ka mubo nga paghulagway sa mga lamesa nga gigamit sa mga iptable ug ang mga kadena nga gisuportahan niini.

Tubag : Salamat sa pag-ila. Pagbalhin sa bahin sa pangutana, Adunay upat ka mga lamesa nga gigamit sa mga iptable, nga mao sila:

1. Nat Table
2. Mangle Table
3. Filter Table
4. Hilaw nga Talaan

Nat Table : Ang Nat table kay gigamit para sa Network Address Translation. Masqueraded packet makakuha sa ilang IP address nga giusab sumala sa mga lagda sa lamesa. Ang mga pakete sa sapa moagi sa Nat Table kausa ra. ie., Kung ang usa ka pakete gikan sa usa ka jet of Packet gitakuban sila ang nahabilin nga mga pakete sa sapa dili na moagi niini nga lamesa pag-usab. Kini girekomendar nga dili pagsala niini nga lamesa. Ang mga kadena nga gisuportahan sa NAT Table mao ang PREROUTING Chain, POSTROUTING Chain ug OUTPUT Chain.

Mangle Table : Sama sa gisugyot sa ngalan, kini nga lamesa nagsilbi sa pagkubkob sa mga pakete. Gigamit kini alang sa Espesyal nga pag-usab sa pakete. Mahimo kini gamiton aron mabag-o ang sulud sa lainlaing mga pakete ug ang ilang mga ulohan. Ang lamesa sa mangle dili magamit alang sa Pagtago. Gisuportahan nga mga kadena mao ang PREROUTING Chain, OUTPUT Chain, Forward Chain, INPUT Chain, POSTROUTING Chain.

Filter Table: Ang Filter Table mao ang default nga lamesa nga gigamit sa iptables. Gigamit kini sa pagsala sa mga Packet. Kung walay mga lagda nga gihubit, ang Filter Table gikuha isip default nga lamesa ug ang pagsala gihimo base niini nga lamesa. Gisuportahan nga mga Kadena mao ang INPUT Chain, OUTPUT Chain, FORWARD Chain.

Raw Table : Ang Raw table mulihok kung gusto namong i-configure ang mga package nga exempted sa sayo pa. Gisuportahan niini ang PREROUTING Chain ug OUTPUT Chain.

Tubag : Ang mosunod mao ang target values nga atong matino sa target sa iptables:

1. 1. DAWAT : Dawata ang mga Pakete
   2. QUEUE : Paas Package ngadto sa user space (lugar diin nagpuyo ang aplikasyon ug mga drayber)
   3. DROP : Ihulog ang mga Pakete
   4. RETURN : Return Control sa calling chain ug hunong sa pagpatuman sa sunod nga set sa mga lagda alang sa kasamtangang Packet sa chain.

   Giunsa nimo Pagsusi ang iptables rpm nga gikinahanglan aron ma-install ang mga iptable sa CentOS?.

   Tubag : iptables rpm gilakip sa standard nga pag-install sa CentOS ug dili na namo kinahanglan nga i-install kini nga gilain. Atong masusi ang rpm isip:

   # rpm -qa iptables
   
   iptables-1.4.21-13.el7.x86_64
   

   Kung kinahanglan nimo nga i-install kini, mahimo nimong buhaton ang yum aron makuha kini.

   # yum install iptables-services
   

   Tubag : Aron masusi ang kahimtang sa mga iptable, mahimo nimong ipadagan ang mosunod nga sugo sa terminal.

   # service iptables status			[On CentOS 6/5]
   # systemctl status iptables			[On CentOS 7]
   

   Kung wala kini nagdagan, ang mando sa ubos mahimong ipatuman.

   ---------------- On CentOS 6/5 ---------------- 
   # chkconfig --level 35 iptables on
   # service iptables start
   
   ---------------- On CentOS 7 ---------------- 
   # systemctl enable iptables 
   # systemctl start iptables 
   

   Mahimo usab natong susihon kung ang module sa iptables gikarga o wala, sama sa:

   # lsmod | grep ip_tables
   

   Tubag : Ang kasamtangang mga lagda sa iptables mahimong marepaso sa yano sama sa:

   # iptables -L
   

   Sample nga Output

   Chain INPUT (policy ACCEPT)
   target     prot opt source               destination         
   ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
   ACCEPT     icmp --  anywhere             anywhere            
   ACCEPT     all  --  anywhere             anywhere            
   ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
   
   Chain FORWARD (policy ACCEPT)
   target     prot opt source               destination         
   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
   
   Chain OUTPUT (policy ACCEPT)
   target     prot opt source               destination
   

   Tubag : Aron ma-flush ang usa ka partikular nga iptables chain, mahimo nimong gamiton ang mosunod nga mga command.

    
   # iptables --flush OUTPUT
   

   Aron Flush ang tanan nga mga lagda sa iptables.

   # iptables --flush
   

   Tubag : Ang senaryo sa ibabaw mahimong makab-ot pinaagi lang sa pagpadagan sa ubos nga sugo.

   # iptables -A INPUT -s 192.168.0.7 -j ACCEPT 
   

   Mahimo natong ilakip ang standard slash o subnet mask sa tinubdan isip:

   # iptables -A INPUT -s 192.168.0.7/24 -j ACCEPT 
   # iptables -A INPUT -s 192.168.0.7/255.255.255.0 -j ACCEPT
   

   Tubag : Naglaum nga ang ssh nagdagan sa port 22, nga mao usab ang default port alang sa ssh, mahimo namon nga idugang ang lagda sa mga iptables ingon:

   Aron DAWATON ang tcp packets para sa ssh service (port 22).

   # iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT 
   

   Aron Isalikway ang mga pakete sa tcp alang sa serbisyo sa ssh (port 22).

   # iptables -A INPUT -s -p tcp --dport 22 -j REJECT
   

   Sa PAGDENY sa tcp packets para sa ssh service (port 22).

    
   # iptables -A INPUT -s -p tcp --dport 22 -j DENY
   

   Sa DROP tcp packets para sa ssh service (port 22).

    
   # iptables -A INPUT -s -p tcp --dport 22 -j DROP
   

   Tubag : Aw, ang tanan nga kinahanglan nakong gamiton mao ang 'multiport' nga kapilian nga adunay mga iptable nga gisundan sa mga numero sa pantalan nga babagan ug ang senaryo sa ibabaw mahimong makab-ot sa usa ka lakang.

   # iptables -A INPUT -s 192.168.0.6 -p tcp -m multiport --dport 21,22,23,80 -j DROP
   

   Ang sinulat nga mga lagda mahimong masusi gamit ang ubos nga sugo.

   # iptables -L
   
   Chain INPUT (policy ACCEPT)
   target     prot opt source               destination         
   ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
   ACCEPT     icmp --  anywhere             anywhere            
   ACCEPT     all  --  anywhere             anywhere            
   ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
   DROP       tcp  --  192.168.0.6          anywhere             multiport dports ssh,telnet,http,webcache
   
   Chain FORWARD (policy ACCEPT)
   target     prot opt source               destination         
   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
   
   Chain OUTPUT (policy ACCEPT)
   target     prot opt source               destination
   

   Interviewer: Kana lang ang gusto nakong ipangutana. Usa ka ka bililhon nga empleyado nga dili namon gusto nga makalimtan. I-recommend nako imong name sa HR. Kung naa kay pangutana pwede ka mangutana nako.

   Isip usa ka kandidato dili ko gusto nga patyon ang panag-istoryahanay busa padayon nga mangutana bahin sa mga proyekto nga akong dumalahon kung mapili ug unsa ang ubang mga pag-abli sa kompanya. Wala pay labot ang HR round dili lisud sa pag-crack ug nakuha nako ang oportunidad.

   Gusto usab nako nga pasalamatan si Avishek ug Ravi (nga dugay na nakong higala) sa paggahin ug oras sa pagdokumento sa akong interbyu.

   Mga higala! Kung nakahatag ka ug bisan unsang interbyu ug gusto nimo ipaambit ang imong kasinatian sa interbyu sa milyon-milyon nga mga magbabasa sa Tecmint sa tibuuk kalibutan? unya ipadala ang imong mga pangutana ug tubag sa [email  o mahimo nimong isumiter ang imong kasinatian sa interbyu gamit ang mosunod nga porma.

   Salamat! Padayon nga Konektado. Pahibaloa sab ko kung natubag ba nako ang usa ka pangutana nga mas husto kaysa sa akong gibuhat.