()阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
Linux 是一个类 UNIX 的操作系统,功能强大,适合构建网络服务平台,提供 DNS、WWW、FTP、NAT 等服务。
【问题1】(3分)
在安装 Linux 前,必须对硬盘进行分区。在 Linux 系统中用设备名称指定分区,命名方法是在驱动器的设备名称(/dev/hda 或/dev/hdb)后加上指定分区的数字,1-4 代表主分区,逻辑分区从5开始编号。
若某系统使用两个IDE硬盘,第一个硬盘a分为三个分区,其中一个为主分区,另外两个为逻辑分区;第二个硬盘b分为五个分区,其中二个为主分区,另外三个为逻辑分区。那么硬盘a的主分区设备名为(1),硬盘b的第三个逻辑分区的设备名为(2)。
系统安装完成后,需要配置网卡。/etc/sysconfig/ (3)是网络配置文件,提供 IP 地址、域名、网关等信息。
【问题2】(4分)
Linux支持多分区结构,依据分区功能填写表3-1中的空(4)~(7)。
表 3-1
【问题3】(8分)
NAT(Network Address Translation)通过改变数据包的源(目的)(8)地址、源(目的)(9)来实现网络地址转换。
在Linux网关服务器中用iptables命令设置NAT 规则。设Linux网关服务器有两个网
卡,eth0接内网,eth1接外网。NAT 服务配置命令如下:
#通知Linux内核ip v4转发
echo l>/proc/sys/net/ipv4/ip_forward
#把来自192.168.1.0内网通过ethl出去的请求做SNAT(静态NAT)
iptables-A (10) -t nat –s (11) -o ehl –j SNAT—to-source 222.35.40.9
(8)~(11)备选答案:
A.POSTROUTING
B.OUTPUT
C.PREROUTING
D.IP
E.MAC
F. 端口号
G. 192.168.1.0/24
H.222.35.40.9/24
【问题1】(3分)
(1)/dev/hda1
(2)/dev/hdb7
(3)network
【问题2】(4分)
(4)/home
(5)/或root
(6)swap
(7)/tmp
【问题3】(8分)
(8)D
(9)F
(10)A
(11)G
【问题1】
本题考查Linux下设备文件的管理。Linux将外设看作一个文件来管理,用户使用外设就像使用普通文件一样。设备文件存放在/dev目录下,它使用设备的主设备号和次设备号来区分指定的外设。主设备号说明设备类型,次设备号说明具体指哪一个设备,参见下面的命令规则。Linux下的/dev 目录中有大量的设备文件,主要是块设备文件和字符设备文件。
Linux的网络配置,基本上是通过修改几个配置文件来实现的,虽然也可以用ifconfig来设置IP,用route来配置默认网关,用hostname来配置主机名,但是重启后会丢失。
相关的配置文件:
/ect/hosts 配置主机名和IP地址的对应
/etc/sysconfig/network 配置主机名和网关
/etc/sysconfig/network-scripts/ifcfg-eth0 eth0配置文件,eth1则文件名为ifcfg-eth1,以此类推。假设我们要配置主机名为test,eth0的IP地址192.168.168.1/24,网关地址192.168.168.250。
则/etc/sysconfig/network文件内容如下:
NETWORKING=yes
HOSTNAME=test
GATEWAY=192.168.168.250
eth0对应的配置文件/etc/sysconfig/network-scripts/ifcfg-eth0内容如下:
DEVICE=eth0
BOOTPROTO=static
IPADDR=192.168.168.1
NETMASK=255.255.255.0
TYPE=Ethernet
ONBOOT=yes
【问题2】
本题考查Linux文件系统与目录管理的基础知识。这里需要介绍几个相关的概念:
主目录(/home):对于一般用户来说,主目录(home directory)是硬盘上唯一可以用来写东西的地方。一般的路径名是/home/登陆用户名。主目录用于存储各种用户文件:设置文件,程序配置文件,用户文档,数据,netscape 的缓存,邮件等等。作为一个普通用户,你可以在主目录下建立新的目录安排你自己的目录结构。其他用户无法阅读你的文件或者写数据到你的主目录,除非你给他们适当的权限。
根目录(/或root):root 用户(也叫“超级用户”)是一个特殊的系统管理帐号,可以修改系统里的任何文件。Linux的目录中,有几个特别的目录:"."表示当前目录,".."表示上一层目录,"/"表示根目录,"~"表示用户根目录(用户登录时所在的目录)。
交换分区(swap):Swap分区,即交换区,Swap空间的作用可简单描述为:当系统的物理内存不够用的时候,就需要将物理内存中的一部分空间释放出来,以供当前运行的程序使用。那些被释放的空间可能来自一些很长时间没有什么操作的程序,这些被释放的空间被临时保存到Swap空间中,等到那些程序要运行时,再从Swap中恢复保存的数据到内存中。这样,系统总是在物理内存不够时,才进行Swap交换。
存放临时文件(/tmp):系统使用时间长后会产生临时文件(/tmp下),一般需要定时清理。TMP文件都是临时备份文件,删除后没有任何影响。
【问题3】
NAT(网络地址转换)是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请合法IP地址。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
IP地址伪装是另一种特殊的NAT应用,它是M:1的翻译,即用一个路由器的IP地址将子网中的所有主机的IP地址都隐藏起来。如果子网中有多个主机要同时通信,那么还要对端口号进行翻译,所以也称为网络地址和端口翻译(NAPT)。该方法的特点是:
(1)出去的数据包源地址被路由器的外部地址代替,而源端口号则被一个还未使用的伪装端口号代替。
(2)进来的数据包的目标地址是路由器的IP地址,目标地址是其伪装端口号,由路由器进行翻译。
Iptables命令用法(严格区分大小写):
iptables [-t table] cmd [chain][rule-matcher][-j target]
-A 添加规则到规则链表 iptables -A INPUT
-D 从规则链表中删除规则,可是完整规则,也可以是规则编号
-R 取代现行规则,不改变在链中的顺序如:iptables -R INPUT 1 -s 193.168.0.1 -j DROP
-I 插入一条规则 如:iptables -I INPUT 1 --dport 80 -j DROP
-L 列出某规则链中所有规则
-F 删除某规则链中所有规则
-Z 将封包计数器清零
-N 定义新的规则链
-X 删除某个规则链
-P 定义过滤政策
-E 修改自定义规则链名字# 通知Linux内核ip v4转发
常用处理动作(用j参数指定)如下:
·ACCEPT:放行。直接跳往下一个规则链。
·REJECT:阻拦。处理后不再对比其他规则,直接中断过滤程序并传送消息(ICMP port-unreachable、ICMP echo-reply tcp-reset)给对方。如: -j REJECT --reject-with tcp-reset。
·DROP:丢弃包。直接中断过滤程序。
REDIRECT:将包重新导向另一个端口。处理完后继续后续规则比对。如:-j REDIRECT --to-ports 80。
·MASQUERADE:改写包来源为防火墙NIC IP。可以指定port对应范围,进行完处理后,直接跳往下一个规则链。如 -j MASQUERADE --to-ports 1024-31000。
·LOG:将包信息记录在/var/log中,之后继续对比其他规则。
·SNAT:改写封包来源IP为某IP或IP范围。可指定port对应范围。之后跳往下一链表。
·DNAT:改写封包目的IP为某IP或IP范围,可指定port对定范围,之后跳往下一链表。
-j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
-j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
·MIRROR:对调包的源和目的地址并返回,之后中断过滤程序。
·QUEUE:中断过滤程序。将包放入队列,交给其他程序处理。
·RETURN:结束在目前规则链中的过滤程序。返回主规则链继续过滤,若把自定义规则链看成是一个子程序,那么这个动作就相当于提前结束子程序并返回主程序中;MARK:将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完处理动作后,将会继续对比其他规则iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set mark 2。
常用封包对比参数如下:
·-p:协议,可以用!运算子,全部用all(后可跟--SYN、ACK、RST、FIN、URG、PSH);
·-s -d:源、目的地址;
·-i:用来对比包是从哪个网卡进入,可用通配符+,如-i eth+表示所有网卡;
·-o:用来表示包从哪片网卡出;
·--sport --dport:源和目的端口,可指定范围。
