linux如何查看防火墙白明白

linux如何查看防火墙白明白详细介绍

在 Linux 系统中查看防火墙白名单的方法因防火墙工具而异。以下是常见防火墙的操作指南：

一、使用
firewalld（CentOS/RHEL 7+、Fedora）

firewalld 是 CentOS 7 及以上版本的默认防火墙，支持动态管理规则。

查看白名单规则：

1. 查看所有区域的规则：
   bash

    firewall-cmd --list-all
   
   

   输出示例：
   plaintext

   public (active)
   
    target: default
    icmp-block-inversion: no
    interfaces: eth0
    sources: 192.168.1.0/24 # 白名单 IP 段
    services: ssh dhcpv6-client
    ports: 80/tcp 443/tcp # 开放的端口
    protocols: 
    masquerade: no
    forward-ports: 
    source-ports: 
    icmp-blocks: 
    rich rules:
    rule family="ipv4" source address="10.0.0.5" port port="22" protocol="tcp" accept
   

   • 关键部分：sources 字段显示允许的 IP 段，rich rules 中的 accept 规则为白名单条目。

2. 查看指定区域的规则（如 public）：
   bash

    firewall-cmd public --list-all
   
   

3. 查看所有富规则（包含详细白名单配置）：
   bash

    firewall-cmd --list-rich-rules
   
   

配置文件路径：

• 运行时规则：/etc/firewalld/zones/public.xml（按需替换区域名）
• 永久规则：/etc/firewalld/zones/public.xml（需重启 firewalld 生效）

二、使用
iptables（CentOS 6、Debian、Ubuntu 等）

iptables 是老牌防火墙工具，通过命令行直接管理规则。

查看白名单规则：

1. 列出所有规则（含白名单）：
   bash

    iptables   
   
   

   输出示例：
   plaintext

   Chain INPUT (policy DROP)
   
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT all -- * * 192.168.1.0/24 0.0.0.0/0 # 白名单 IP 段
    10 600 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
   

   • 关键部分：ACCEPT 规则中的 source 字段即为白名单 IP。

2. 过滤出允许的规则（白名单）：
   bash

    iptables      ACCEPT
   
   

3. 查看自定义链（如 WHITELIST）：
   bash

    iptables  WHITELIST  
   
   

配置文件路径：

• CentOS/RHEL：/etc/sysconfig/iptables
• Debian/Ubuntu：/etc/iptables/iptables.rules

三、使用
ufw（Ubuntu 推荐）

ufw（Uncomplicated Firewall）是 iptables 的简化前端，适合新手。

查看白名单规则：

1. 查看规则列表：
   bash

    ufw status numbered
   
   

   输出示例：
   plaintext

   Status: active
   
   
   To Action From
   -- ------ ----
   22 ALLOW IN 192.168.1.5 # 白名单 IP
   80/tcp ALLOW IN Anywhere
   22 (v6) ALLOW IN Anywhere (v6)
   

   • 关键部分：ALLOW IN 规则中的 From 字段即为白名单 IP。

2. 查看详细状态：
   bash

    ufw status verbose
   
   

配置文件路径：

• 规则文件：/etc/ufw/user.rules
• 配置文件：/etc/ufw/ufw.conf

四、使用
nftables（新一代防火墙，替代
iptables）

nftables 是 iptables 的替代品，语法更简洁。

查看白名单规则：
bash

 nft list ruleset

输出示例：
plaintext

table inet filter {

 chain input {
 type filter hook input priority 0; policy drop;
 ip saddr 192.168.1.0/24 accept # 白名单 IP 段
 tcp dport 22 accept
 }
}

• 关键部分：accept 规则中的 ip saddr 或 tcp dport 即为白名单配置。

配置文件路径：

• 默认规则：/etc/nftables.conf（需手动保存）

五、判断当前防火墙工具

1. 检查运行的服务：bash

   systemctl status firewalld  
   
   systemctl status ufw 
   

2. 查看进程：bash

    aux    
   
   

3. 查看默认防火墙（CentOS/RHEL）：bash

   firewall-cmd   
   
   

六、常见问题

1. 规则不生效？
   • 确保防火墙服务已启动：sudo systemctl start firewalld/ufw。
   • 若使用 firewalld，需执行 sudo firewall-cmd --reload 使永久规则生效。

2. 权限不足？
   • 所有命令需 root 权限，可在命令前加 sudo 或切换至 root 用户。

3. 配置文件修改后如何生效？
   • iptables：sudo iptables-restore < /etc/iptables/iptables.rules
   • nftables：sudo nft -f /etc/nftables.conf

通过以上方法，您可以快速查看并管理 Linux 系统的防火墙白名单。根据不同的防火墙工具，选择对应的命令即可。