摘要：对于【网络工程师】软考考试而言，试题无疑是最重要的学习资料之一。在软考备考过程中，吃透试题、掌握试题所考知识点、熟悉试题的出题思路，对我们提升分数的效果是最明显的，通过对试题的反复练习，还可以查漏补缺。今天，给大家带来【2022年5月网络工程师上午题】部分试题的详解，一起来看看吧~



1、（40）命令不能获得主机域名（abc.com）对应的 IP 地址。
A、 ping abc.com
B、 nslookup qt=a abc.com
C、 tracert abc.com
D、 route abc.com

答案:D
答题解析:

route命令用于在机器上创建或者显示系统的路由表，因此不能解析出对应域名的IP地址。

2、通过在出口防火墙上配置（41）功能，可以阻止外部未授权用户访问内部网络。
A、 ACL
B、 SNAT
C、 入侵检测
D、 防病毒

答案:A
答题解析:

在防火墙上通过ACL隔离网络数据包是最常用的隔离方法。

3、以下 linux 命令中，（42）可以实现允许 IP 为 10.0.0.2 的客户端访问本机 tcp 22 端口。
A、 iptables -I INPUT-d 10.0.0.2-p tcp--sport 22-j DROP
B、 iptables -I INPUT-s 10.0.0.2-p tcp--sport 22-j DROP
C、 iptables -I INPUT-d 10.0.0.2-p tcp--sport 22-j ACCEPT
D、 iptables -I INPUT-s 10.0.0.2 -p tcp --dport 22 -j ACCEPT

答案:D
答题解析:

iptables是Linux系统中一个常用的IP包过滤功能，使用比较广泛，但是命令比较复杂。其中match常用数据包匹配参数：

l 参数-p（-protocol）：用于匹配通信协议类型是否相符，可以使用“!”运算符进行反向匹配，如-p !tcp的意思是指除TCP以外的其他类型，如udp、icmp等非TCP的其他协议。如果要匹配所有类型，则可以使用 all 关键词。

l 参数-s（-src，-source）：用来匹配数据包的来源IP地址（单机或网络），匹配网络时用数字来表示子网掩码，如-s 192.168.0.0/24，也可以使用“!”运算符进行反向匹配。

l 参数-d（-dst，-destination）：用来匹配数据包的目的IP地址。

l 参数-sport（-source-port）：用来匹配数据包的源端口，可以匹配单一端口或一个范围，如--sport 22:80表示从22到80端口之间都算符合条件。

l 参数--dport（--destination-port）：用来匹配数据包的目的地端口号。

-j target/jump常用的处理动作：

-j：用来指定要进行的处理动作，常用的处理动作包括accept、reject、drop、redirect、masquerade、log、snat、dnat、mirror等。具体如下：

l accept：将数据包放行，进行完此处理动作后将不再匹配其他规则，直接跳往下一个规则链（nat postrouting）。

l reject：阻拦该数据包并传送数据包通知对方，进行完此处理动作后将不再匹配其他规则，直接中断过滤程序。

l drop：丢弃数据包不予处理，进行完此处理动作后将不再匹配其他规则，直接中断过滤程序。

l redirect：将数据包重新导向到另一个端口（pnat），进行完此处理动作后将继续匹配其他规则。

l masquerade：改写数据包的源IP地址为自身接口的IP地址，可以指定port对应的范围，进行完此处理动作后直接跳往下一个规则链（mangle postrouting）。这个功能与snat不同的是，当进行IP伪装时不需要指定伪装成哪个IP地址，这个IP地址会自动从网卡读取，尤其是当使用DHCP方式获得地址时masquerade 特别有用。

l log：将数据包相关信息记录在/var/log中，进行完此处理动作后将继续匹配其他规则。

l snat：改写数据包的源IP为某特定IP或IP范围，可以指定port对应的范围，进行完此处理动作后将直接跳往下一个规则（mangle postrouting）。

l dnat：改写数据包目的IP地址为某特定IP或IP范围，可以指定port对应的范围，进行完此处理动作后将直接跳往下一个规则链（filter:input或filter:forward）。

查看完整试题>>>