Linux防火墙规则检查与放通实践

Linux防火墙规则检查与放通实践

防火墙是 Linux 主机安全的重要边界，也是网络排障中的高频变量。很多“服务起了但访问不到”的问题，最终都要回到防火墙规则上。中级阶段的关键，不只是会执行放通命令，而是知道怎么判断是否该放、放在哪里、放完后如何验证没有扩大风险。

一、先确认问题是否真的在防火墙

遇到端口不通时，不要立刻修改规则。先确认服务是否在监听、主机是否可达、端口是否真的被防火墙拦截。否则很容易把服务问题误当成网络策略问题。

ss -lntp | grep 8080

如果服务根本没监听，那么即使放通规则也没有意义。

二、识别系统使用的是哪套防火墙体系

不同发行版和环境可能使用 iptables、nftables 或 firewalld。先确认当前主机主要受哪套机制控制。

systemctl status firewalld

查看 iptables 规则：

iptables -L -n

如果环境中是 firewalld，就应优先通过它管理，而不是混用底层命令，避免规则状态不一致。

三、检查入站规则是否命中

最常见的问题是目标端口未被允许进入。先看规则列表，再结合默认策略判断是否会拒绝该流量。

iptables -L INPUT -n --line-numbers

对于 firewalld：

firewall-cmd --list-all

这里不仅要看端口有没有放通，还要看服务所在的 zone 是否正确、接口是否绑定到了预期区域。

四、确认来源范围是否合理

放通规则不是“端口开了就行”，还要考虑来源地址范围。如果一个管理端口只需要办公网访问，就不应对全网开放。

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'

中级运维更关注边界最小化，而不是简单追求连通。

五、放通后要立即验证

规则添加完成后，不能只看命令执行成功，还要验证服务是否真的可访问。

firewall-cmd --reload

然后从客户端验证：

nc -vz 192.168.1.10 8080

如果规则已生效但仍不通，就要回到服务监听、上游安全组或链路中的其他节点继续排查。

六、临时规则与永久规则要分清

很多人以为放通一次就结束了，但重启后规则消失，问题又会复发。这通常是因为只加了临时规则。

firewall-cmd --add-port=8080/tcp

上面只是临时生效。若要长期保留，应使用：

firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --reload

排障时要清楚自己是在做临时验证，还是在做正式变更。

七、关注出站与转发场景

并非所有防火墙问题都发生在入站。某些主机作为跳板、代理或容器宿主机时，还会涉及转发链和出站策略。

iptables -L FORWARD -n

如果服务是通过本机转发出去的，INPUT 没问题并不代表链路就一定畅通。中级阶段要有更完整的流量路径意识。

八、规则顺序同样重要

在某些防火墙体系中，规则是按顺序匹配的。即便后面有允许规则，如果前面更早命中了拒绝规则，流量仍会被拦截。

iptables -L INPUT -n --line-numbers

当你发现“明明写了 accept 还是不通”时，就应该检查链的顺序，而不是只看有没有那一条规则。

九、日志能帮助确认是否被拦截

若怀疑流量被防火墙丢弃，但规则过多难以直接判断，可以结合日志观察。虽然不是所有环境都会默认记录，但对复杂场景非常有帮助。

journalctl -k | grep -i drop

配合抓包，还能进一步确认数据包是没进主机、进了但被拦，还是已通过但服务端没响应。

十、把放通当成受控变更

真正成熟的做法，不是为了让业务恢复就随手开端口，而是在最小范围内放通、验证可用、记录原因、保留回滚路径。防火墙规则本质上是安全策略的一部分，不应因为应急处理而失去秩序。

Linux 防火墙检查与放通的核心，在于先判断、后修改、再验证。只要把链路、规则、来源和持久化状态一起纳入考虑，大多数防火墙问题都能在安全前提下得到解决。