查看Linux防火墙状态和规则，如何快速查看Linux防火墙状态和规则？，如何一键查看Linux防火墙状态和规则？

在Linux系统中，快速查看防火墙状态和规则的方法取决于使用的防火墙工具，若系统使用**iptables**，可通过命令sudo iptables -L -n -v查看详细规则，或sudo iptables -S查看简洁规则链；使用sudo service iptables status（部分发行版）可检查状态，若为**firewalld**（如CentOS/RHEL），运行sudo firewall-cmd --state查看状态，sudo firewall-cmd --list-all显示完整规则及区域配置，对于**UFW**（Ubuntu默认工具），使用sudo ufw status verbose输出状态及规则，sudo netstat -tuln或ss -tuln可辅助查看当前开放的端口，注意：操作需管理员权限，建议结合grep过滤关键信息以提高效率。

在Linux生态系统中，防火墙作为网络安全的第一道防线，其配置与管理至关重要，不同发行版提供了多样化的防火墙解决方案，本文将系统性地介绍主流防火墙工具的检查方法,并分享实用管理技巧。

主流防火墙工具深度解析

iptables：传统防火墙的典范

作为Linux防火墙的奠基者，iptables虽逐渐被nftables取代，但在众多生产环境中仍广泛使用,其优势在于：

• 成熟的规则处理机制
• 广泛的社区支持
• 完善的文档体系

常用检查命令：

# 详细规则查看（显示数据包计数等元信息）
sudo iptables -L -n -v
# NAT表专项检查（适用于网关服务器）
sudo iptables -t nat -L -n -v
# 带规则编号的显示（便于精准管理）
sudo iptables -L --line-numbers
# 全表规则导出（包含filter/nat/mangle等）
sudo iptables-save > current_rules.v4

nftables：新一代防火墙框架

nftables作为iptables的革新版本,具有：

• 统一的配置语法
• 更高的处理性能
• 简化的规则管理

核心操作指令：

# 完整规则集导出
sudo nft list ruleset
# 表级规则查询（示例为inet协议族）
sudo nft list table inet filter
# 链级规则审计
sudo nft list chain inet filter input

firewalld：企业级动态防火墙

Red Hat系发行版的默认解决方案,特点包括：

• 动态规则更新（无需重启）
• 区域隔离概念
• 服务预定义模板

关键检查命令：

# 运行时状态确认
sudo firewall-cmd --state
# 当前区域完整配置（含端口/服务/富规则）
sudo firewall-cmd --list-all
# 持久化配置预览
sudo firewall-cmd --list-all --permanent
# 可用服务模板查看
sudo firewall-cmd --get-services

UFW：简约而不简单

Ubuntu家族的友好型防火墙,优势在于：

• 极简命令结构
• 应用集成配置
• 新手友好设计

常用操作集：

# 增强状态显示（含默认策略）
sudo ufw status verbose
# 规则编号模式（方便删除操作）
sudo ufw status numbered
# 应用配置概览
sudo ufw app list

服务状态监控进阶技巧

# 服务活性检测（通用方法）
sudo systemctl is-active <service>
# 详细服务状态（含最近日志）
sudo systemctl status nftables -l
# 开机自启检查
sudo systemctl is-enabled firewalld

网络连接实时分析工具

# 现代连接查看（推荐）
sudo ss -tulnp --color=auto
# 传统netstat（兼容旧系统）
sudo netstat -tulnp | grep -E '(firewalld|ufw)'
# 动态监控面板
sudo watch -d -n 2 "ss -s"
# 丢包日志追踪
sudo journalctl -k --grep="DROP"

企业级运维建议

1. 变更管理规范

   # 配置版本化管理
   sudo iptables-save | git hash-object --stdin
   # 差异对比工具
   diff <(nft list ruleset) ruleset.bak

2. 多工具共存处理

   • 使用systemctl mask禁用冲突服务
   • 定期检查规则冲突：sudo iptables-check

3. 深度日志分析

   # 结构化日志查询
   sudo ausearch -m avc -ts today | aureport
   # 实时告警监控
   sudo tail -f /var/log/kern.log | grep --line-buffered "FINAL_REJECT"

4. 可视化方案选型

   • Cockpit：Web版综合管理工具
   • FirewallDroid：移动端管理应用
   • Wireshark：规则效果验证工具

性能优化提示

• 对于高流量服务器,建议：

  

  # 连接追踪优化
  echo 1000000 | sudo tee /proc/sys/net/netfilter/nf_conntrack_max
  # 规则集预编译（nftables特性）
  sudo nft -o /etc/nftables.conf

• 定期执行规则效率审计：

  sudo iptables -L -v -n | sort -nk 2

通过掌握这些工具和方法，您将能够： ✓ 全面掌控防火墙状态
✓ 快速定位配置问题
✓ 优化安全策略效能
✓ 满足合规审计要求

建议根据实际业务场景，建立定期检查机制（如每周规则审核）,并配合自动化监控工具实现实时防护。