关于Linux防火墙'iptables'的面试问答

一、什么是iptables？

iptables是Linux系统中的一种强势的命令行防火墙工具，它用于控制进出网络接口的数据包。iptables基于内核的netfilter框架，可以对数据包进行过滤、转发、NAT（网络地址转换）等操作。

二、iptables的重点功能有哪些？

iptables的重点功能包括：

• 数据包过滤：按照数据包的源地址、目的地址、端口号等属性进行过滤。
• 网络地址转换（NAT）：实现内网到外网的地址转换。
• 端口转发：将一个端口的数据转发到另一个端口。
• 状态跟踪：跟踪已产生的连接，对数据包进行动态过滤。

三、iptables的规则怎样设置？

iptables的规则由链（Chain）和规则（Rule）组成。链包括：

• PREROUTING：数据包到达目标主机之前。
• INPUT：数据包进入目标主机。
• FORWARD：数据包在目标主机之间转发。
• OUTPUT：数据包离开目标主机。
• POSTROUTING：数据包离开目标主机之后。

规则包括：

• 目标动作（Target）：如ACCEPT、DROP、REJECT等。
• 匹配条件（Match）：如源地址、目的地址、端口号等。

以下是一个简洁的iptables规则示例：

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    

这条规则即允许TCP协议，端口号为80的数据包进入目标主机。

四、怎样查看iptables规则？

可以使用以下命令查看iptables规则：

    iptables -L
    

该命令会列出所有链的规则，包括规则的动作和匹配条件。

五、怎样删除iptables规则？

要删除iptables规则，可以使用以下命令：

    iptables -D INPUT 1
    

该命令即删除INPUT链的第1条规则。

六、iptables的持久性怎样保证？

iptables规则在系统重启后会丢失，为了保证规则的持久性，需要将规则保存到配置文件中。可以使用以下命令保存规则：

    iptables-save > /etc/sysconfig/iptables
    

要恢复规则，可以使用以下命令：

    iptables-restore < /etc/sysconfig/iptables
    

七、iptables的NAT功能怎样实现？

NAT功能可以通过以下几种行为进行实现：

• 静态NAT：将一个内部IP地址映射到一个外部IP地址。
• 动态NAT：将多个内部IP地址映射到同一个外部IP地址池。
• 端口映射（PAT）：将多个内部IP地址和端口号映射到同一个外部IP地址和端口号。

以下是一个静态NAT的示例：

    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 192.168.1.1
    

这条规则即将来自192.168.1.0/24网段的流量通过eth0接口发送到192.168.1.1。

八、iptables的状态跟踪功能怎样使用？

iptables的状态跟踪功能可以跟踪已产生的连接，并按照连接的状态对数据包进行过滤。以下是一个状态跟踪的示例：

    iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
   
本文由IT视界版权所有,禁止未经同意的情况下转发