Как можно включить пересылку пакетов (forwarding)?
1) iptables не отвечает за включение/выключение пересылки пакетов
2) iptables -P FORWARD ACCEPT
3) iptables -A FORWARD -j ACCEPT
4) Пересылка пакетов всегда включена, и чтобы запретить транзитные пакеты нужно добавить единственное правило в цепочку FORWARD командой iptables -A FORWARD -j DROP
Как можно включить пересылку пакетов (forwarding)?
1) iptables не отвечает за включение/выключение пересылки пакетов
2) iptables -P FORWARD ACCEPT
3) iptables -A FORWARD -j ACCEPT
4) Пересылка пакетов всегда включена, и чтобы запретить транзитные пакеты нужно добавить единственное правило в цепочку FORWARD командой iptables -A FORWARD -j DROP
Куда раньше попадает транзитный пакет?
1) В цепочку INPUT таблицы nat
2) В цепочку PREROUTING таблицы nat
3) В цепочку FORWARD таблицы filter
4) В цепочку PREROUTING таблицы mangle
Куда раньше попадает транзитный пакет?
1) В цепочку INPUT таблицы nat
2) В цепочку PREROUTING таблицы nat
3) В цепочку FORWARD таблицы filter
4) В цепочку PREROUTING таблицы mangle
Укажите работоспособные команды:
1) iptables -A FORWARD -p icmp -s 0.0.0.0/0 -d 192.168.5.0/24 -j DROP
2) iptables -A INPUT -p tcp -m multiport --dports 22,53,80,139,445 -j ACCEPT
3) iptables -t nat -A PREROUTING -p tcp -d 192.168.10.11 --dport 2211 -j DNAT --to-destination 192.168.5.15:22
4) iptables -A POSTROUTING -s 192.168.5.0/24 -o eth1 -j SNAT --to-source 192.168.10.11
5) iptables -A INPUT -p icmp -s 192.168.5.0/24 --dport 8 -j ACCEPT
6) iptables -A FORWARD -s 192.168.5.0/24 --dport 80 -j DROP
Укажите работоспособные команды:
1) iptables -A FORWARD -p icmp -s 0.0.0.0/0 -d 192.168.5.0/24 -j DROP
2) iptables -A INPUT -p tcp -m multiport --dports 22,53,80,139,445 -j ACCEPT
3) iptables -t nat -A PREROUTING -p tcp -d 192.168.10.11 --dport 2211 -j DNAT --to-destination 192.168.5.15:22
4) iptables -A POSTROUTING -s 192.168.5.0/24 -o eth1 -j SNAT --to-source 192.168.10.11
5) iptables -A INPUT -p icmp -s 192.168.5.0/24 --dport 8 -j ACCEPT
6) iptables -A FORWARD -s 192.168.5.0/24 --dport 80 -j DROP
Что происходит с пакетом, если он попал под правило с действием ACCEPT?
1) Пакет выбрасывается и обработка на этом завершается
2) Пакет прекращает движение по текущей цепочке и возвращается в вызвавшую ее цепочку; если это встроенная цепочка, пакет считается принятым
3) Пакет прекращает движение по текущей цепочке и всем вызвавшим ее цепочкам и считается принятым, обработка завершается
4) Пакет прекращает движение по текущей цепочке и всем вызвавшим ее цепочкам и считается принятым, но продолжает движение по цепочкам в других таблицах
5) Пакет выбрасывается и отправителю посылается ICMP пакет "destination port unreachable"
Что происходит с пакетом, если он попал под правило с действием ACCEPT?
1) Пакет выбрасывается и обработка на этом завершается
2) Пакет прекращает движение по текущей цепочке и возвращается в вызвавшую ее цепочку; если это встроенная цепочка, пакет считается принятым
3) Пакет прекращает движение по текущей цепочке и всем вызвавшим ее цепочкам и считается принятым, обработка завершается
4) Пакет прекращает движение по текущей цепочке и всем вызвавшим ее цепочкам и считается принятым, но продолжает движение по цепочкам в других таблицах
5) Пакет выбрасывается и отправителю посылается ICMP пакет "destination port unreachable"
Какие из перечисленных действий доступны во всех цепочках?
Какие из перечисленных действий доступны во всех цепочках?
Как можно сделать проброс всех пакетов, у которых источником является любой адрес из сети 192.168.1.0/24, а назначением любой адрес из сети 192.168.2.0/24 в сеть 192.168.3.0/24?
1) iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j DNAT --to-destination 192.168.3.0/24
2) iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j DNAT --to-net 192.168.3.0/24
3) Никак, можно делать проброс только отдельных IP-адресов
4) iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j NETMAP --to 192.168.3.0/24
5) iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j MASQUERADE --to 192.168.3.0/24
Как можно сделать проброс всех пакетов, у которых источником является любой адрес из сети 192.168.1.0/24, а назначением любой адрес из сети 192.168.2.0/24 в сеть 192.168.3.0/24?
1) iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j DNAT --to-destination 192.168.3.0/24
2) iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j DNAT --to-net 192.168.3.0/24
3) Никак, можно делать проброс только отдельных IP-адресов
4) iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j NETMAP --to 192.168.3.0/24
5) iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j MASQUERADE --to 192.168.3.0/24
Укажите верные утверждения:
1) В пользовательских цепочках может быть установлена политика по умолчанию
2) Пользовательские цепочки нельзя переименовывать
3) Использование пользовательских цепочек позволяет снизить нагрузку на систему
4) Пользовательская цепочка может быть использована только в пределах своей таблицы
5) Пользовательская цепочка не может быть удалена если в ней есть правила
Укажите верные утверждения:
1) В пользовательских цепочках может быть установлена политика по умолчанию
2) Пользовательские цепочки нельзя переименовывать
3) Использование пользовательских цепочек позволяет снизить нагрузку на систему
4) Пользовательская цепочка может быть использована только в пределах своей таблицы
5) Пользовательская цепочка не может быть удалена если в ней есть правила
Какое действие и почему предпочтительнее использовать для изменения исходных адресов транзитных пакетов при статическом адресе шлюза?
1) SNAT, потому что MASQUERADE нельзя использовать для изменения исходных адресов пакетов
2) SNAT, потому что MASQUERADE сильнее нагружает систему
3) Можно использовать SNAT или MASQUERADE, между данными действиями нет отличий
4) MASQUERADE, потому что SNAT нельзя применять к транзитным пакетам
5) Ничего из перечисленного
Какое действие и почему предпочтительнее использовать для изменения исходных адресов транзитных пакетов при статическом адресе шлюза?
1) SNAT, потому что MASQUERADE нельзя использовать для изменения исходных адресов пакетов
2) SNAT, потому что MASQUERADE сильнее нагружает систему
3) Можно использовать SNAT или MASQUERADE, между данными действиями нет отличий
4) MASQUERADE, потому что SNAT нельзя применять к транзитным пакетам
5) Ничего из перечисленного
Что случится с пакетом, если он не попадет ни под одно правило в цепочке FORWARD таблицы filter?
1) Пакет будет выброшен
2) Пакет будет помечен как ошибочный
3) Пакет будет пропущен
4) Действие будет определяться политикой (policy) цепочки
Что случится с пакетом, если он не попадет ни под одно правило в цепочке FORWARD таблицы filter?
1) Пакет будет выброшен
2) Пакет будет помечен как ошибочный
3) Пакет будет пропущен
4) Действие будет определяться политикой (policy) цепочки
Что описывает следующее правило?
iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.2.55 --dport 1122 -j DNAT --to-destination 192.168.1.10:22
Варианты ответов:
1) Пакет протокола tcp, пришедший на сетевой интерфейс eth0, с адреса 192.168.2.55 и порта 1122, перенаправить на 22 порт по адресу 192.168.1.10
2) Пакет протокола tcp, пришедший на сетевой интерфейс eth0, на порт 1122 с адреса 192.168.2.55 перенаправить на 22 порт по адресу 192.168.1.10
3) Правило не может быть использовано, потому что содержит ошибку
4) Пакет протокола tcp, пришедший на порт 22, на адрес 192.168.1.10, который принадлежит интерфейсу eth0, с адреса 192.168.2.55 перенаправить на 1122 порт
Что описывает следующее правило?
iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.2.55 --dport 1122 -j DNAT --to-destination 192.168.1.10:22
Варианты ответов:
1) Пакет протокола tcp, пришедший на сетевой интерфейс eth0, с адреса 192.168.2.55 и порта 1122, перенаправить на 22 порт по адресу 192.168.1.10
2) Пакет протокола tcp, пришедший на сетевой интерфейс eth0, на порт 1122 с адреса 192.168.2.55 перенаправить на 22 порт по адресу 192.168.1.10
3) Правило не может быть использовано, потому что содержит ошибку
4) Пакет протокола tcp, пришедший на порт 22, на адрес 192.168.1.10, который принадлежит интерфейсу eth0, с адреса 192.168.2.55 перенаправить на 1122 порт
Куда будет добавлено правило после выполнения следующей команды?
iptables -I INPUT -p tcp --dport 22 -s 192.168.1.5 -j ACCEPT
Варианты ответов:
1) Правило заменит последнее правило в цепочке INPUT таблицы filter
2) Правило заменит первое правило в цепочке INPUT таблицы filter
3) Правило будет добавлено в начало цепочки INPUT таблицы filter
4) Правило будет добавлено в конец цепочки INPUT таблицы filter
5) Команда не будет выполнена, потому что содержит ошибку
Куда будет добавлено правило после выполнения следующей команды?
iptables -I INPUT -p tcp --dport 22 -s 192.168.1.5 -j ACCEPT
Варианты ответов:
1) Правило заменит последнее правило в цепочке INPUT таблицы filter
2) Правило заменит первое правило в цепочке INPUT таблицы filter
3) Правило будет добавлено в начало цепочки INPUT таблицы filter
4) Правило будет добавлено в конец цепочки INPUT таблицы filter
5) Команда не будет выполнена, потому что содержит ошибку
Для чего применяются действия SNAT, DNAT, MASQUERADE?
1) Для передачи пакета в другую цепочку
2) Для изменения IP-адресов в заголовках пакетов
3) Вопрос задан некорректно, действие MASQUERADE выполняет отличные от SNAT и DNAT функции
4) Что бы пометить определенные пакеты для нужд маршрутизации
Для чего применяются действия SNAT, DNAT, MASQUERADE?
1) Для передачи пакета в другую цепочку
2) Для изменения IP-адресов в заголовках пакетов
3) Вопрос задан некорректно, действие MASQUERADE выполняет отличные от SNAT и DNAT функции
4) Что бы пометить определенные пакеты для нужд маршрутизации
Как можно предотвратить обработку пакетов системой conntrack?
1) Использовать действие NOTRACK в цепочках PREROUTING или OUTPUT таблицы mangle
2) Использовать действие NOTRACK в цепочках PREROUTING или OUTPUT таблицы nat
3) Использовать действие NOTRACK в цепочках PREROUTING или OUTPUT таблицы raw
4) Предотвратить обработку пакетов системой conntrack нельзя, потому что обработка происходит до того как пакеты попадут в какую-либо из таблиц iptables
Как можно предотвратить обработку пакетов системой conntrack?
1) Использовать действие NOTRACK в цепочках PREROUTING или OUTPUT таблицы mangle
2) Использовать действие NOTRACK в цепочках PREROUTING или OUTPUT таблицы nat
3) Использовать действие NOTRACK в цепочках PREROUTING или OUTPUT таблицы raw
4) Предотвратить обработку пакетов системой conntrack нельзя, потому что обработка происходит до того как пакеты попадут в какую-либо из таблиц iptables
В чем отличие между SNAT и MASQUERADE?
1) Все ответы являются неверными
2) MASQUERADE преобразует адрес назначения
3) MASQUERADE можно использовать при динамическом IP-адресе сетевого интерфейса
4) Никакого отличия нет
В чем отличие между SNAT и MASQUERADE?
1) Все ответы являются неверными
2) MASQUERADE преобразует адрес назначения
3) MASQUERADE можно использовать при динамическом IP-адресе сетевого интерфейса
4) Никакого отличия нет
Что произойдет с пакетом, двигающимся по вложенной цепочке, если он достигнет её конца и не попадет под действие какого-либо правила?
1) Все ответы неверные
2) Действие будет определяться политикой (policy) встроенной цепочки, из которой происходит вызов вложенной цепочки, независимо от ее уровня вложенности
3) Будет выполнено действие ACCEPT
4) Будет выполнено действие DROP
5) Действие будет определяться политикой (policy) вложенной цепочки
6) Будет выполнено действие RETURN
Что произойдет с пакетом, двигающимся по вложенной цепочке, если он достигнет её конца и не попадет под действие какого-либо правила?
1) Все ответы неверные
2) Действие будет определяться политикой (policy) встроенной цепочки, из которой происходит вызов вложенной цепочки, независимо от ее уровня вложенности
3) Будет выполнено действие ACCEPT
4) Будет выполнено действие DROP
5) Действие будет определяться политикой (policy) вложенной цепочки
6) Будет выполнено действие RETURN
Для чего, главным образом, предназначена таблица mangle?
1) Для фильтрации пакетов (действия DROP, LOG, ACCEPT, REJECT)
2) Для перенаправления пакетов (действия DNAT, SNAT, MASQUERADE)
3) Для внесения изменений в заголовки пакета (действия TTL, TOS, MARK)
4) Ничего из перечисленного
Для чего, главным образом, предназначена таблица mangle?
1) Для фильтрации пакетов (действия DROP, LOG, ACCEPT, REJECT)
2) Для перенаправления пакетов (действия DNAT, SNAT, MASQUERADE)
3) Для внесения изменений в заголовки пакета (действия TTL, TOS, MARK)
4) Ничего из перечисленного
Что произойдет после выполнения команды iptables -F?
1) Будет сброшена вся статистика
2) В таблице filter будут удалены все правила во всех цепочках и сброшена статистика
3) Во всех таблицах и цепочках будут удалены все правила
4) Во всех цепочках в таблице filter будут удалены все правила
Что произойдет после выполнения команды iptables -F?
1) Будет сброшена вся статистика
2) В таблице filter будут удалены все правила во всех цепочках и сброшена статистика
3) Во всех таблицах и цепочках будут удалены все правила
4) Во всех цепочках в таблице filter будут удалены все правила
Что произойдет с ICMP-пакетами, пришедшими с адреса 192.168.1.10 на локальный компьютер, если настройка iptables на нем проведена следующими командами?
iptables -F
iptables -P INPUT ACCEPT
iptables -N in_std
iptables -A INPUT -p icmp -s 192.168.1.10 -j in_std
iptables -A INPUT -p icmp -s 192.168.1.10 -j RETURN
iptables -A INPUT -p icmp -s 192.168.1.10 -j DROP
iptables -A in_std -p icmp -j RETURN
iptables -A in_std -p icmp -j DROP
Что произойдет с ICMP-пакетами, пришедшими с адреса 192.168.1.10 на локальный компьютер, если настройка iptables на нем проведена следующими командами?
iptables -F
iptables -P INPUT ACCEPT
iptables -N in_std
iptables -A INPUT -p icmp -s 192.168.1.10 -j in_std
iptables -A INPUT -p icmp -s 192.168.1.10 -j RETURN
iptables -A INPUT -p icmp -s 192.168.1.10 -j DROP
iptables -A in_std -p icmp -j RETURN
iptables -A in_std -p icmp -j DROP
Какие таблицы используются для изменения IP-адресов в заголовках пакетов?
Какие таблицы используются для изменения IP-адресов в заголовках пакетов?
Что произойдет с пакетом, предназначенным для локальной задачи, который попадет под действие следующего правила, при условии, что это правило является последним в цепочке?
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j LOG --log-level info
Варианты ответов:
1) Действие будет определятся политикой (policy) цепочки, а информация о нем будет занесена в системный журнал
2) Пакет будет отброшен, а информация о нем будет занесена в системный журнал
3) Пакет будет пропущен, а информация о нем будет занесена в системный журнал
4) Ничего из перечисленного
Что произойдет с пакетом, предназначенным для локальной задачи, который попадет под действие следующего правила, при условии, что это правило является последним в цепочке?
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j LOG --log-level info
Варианты ответов:
1) Действие будет определятся политикой (policy) цепочки, а информация о нем будет занесена в системный журнал
2) Пакет будет отброшен, а информация о нем будет занесена в системный журнал
3) Пакет будет пропущен, а информация о нем будет занесена в системный журнал
4) Ничего из перечисленного