debian防火墙怎么测试
导读:Debian 防火墙测试步骤 一、先确认正在使用的防火墙与规则 查看是否运行 UFW:sudo ufw status verbose;若未安装可 sudo apt install ufw。UFW 未启用时显示 Status: inacti...
Debian 防火墙测试步骤
一、先确认正在使用的防火墙与规则
- 查看是否运行 UFW:
sudo ufw status verbose;若未安装可sudo apt install ufw。UFW 未启用时显示 Status: inactive。 - 查看是否运行 iptables:
sudo iptables -L -n -v(加--line-numbers便于定位规则)。 - 若系统装有 firewalld(常见于部分环境):
sudo systemctl status firewalld;查看规则用sudo firewall-cmd --list-all。 - 辅助确认监听端口:
sudo ss -tulpen或sudo netstat -tulpen,确保被测服务本身在监听对应端口。
二、连通性测试方法与命令
- 本机自测(服务已监听时):
nmap -sT -p < 端口> 127.0.0.1,验证本机策略是否放行。 - 局域网/远程测试:从另一台机器执行
nmap -sT -p < 端口> < 服务器IP>,观察端口是 open/open|filtered(被放行或被过滤)还是 closed(主机未监听或被拒绝)。 - 应用层验证:
- HTTP/HTTPS:
curl -I http://< IP> :< 端口> /或curl -vk https://< IP> /。 - 数据库等 TCP 服务:使用对应客户端(如
mysql -h < IP> -P < 端口> -u < user> -p)验证。
- HTTP/HTTPS:
- 日志核查(UFW):开启日志
sudo ufw logging on,在 /var/log/ufw.log 中查看匹配规则的数据包是否被记录。
三、按防火墙工具的最小测试用例
- UFW
- 放行并验证 SSH:
sudo ufw allow 22/tcp→sudo ufw status numbered→ 从外部nmap -sT -p 22 < IP>应为 open。 - 放行并验证 HTTP/HTTPS:
sudo ufw allow 80,443/tcp→curl -I http://< IP> /应返回 200/301/302 等成功状态码。 - 来源限制测试:
sudo ufw allow from < 你的IP> /32 to any port 22→ 仅该来源可连 22/tcp,其他来源应被拒绝。
- 放行并验证 SSH:
- iptables
- 放行并验证:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT→sudo iptables -L -n -v --line-numbers查看命中计数 → 外部nmap验证。 - 删除规则:
sudo iptables -D INPUT < 编号>(先用--line-numbers查编号)。 - 持久化(Debian 常用):
sudo apt install iptables-persistent→sudo netfilter-persistent save,重启后规则仍存在。
- 放行并验证:
- firewalld(如系统使用)
- 放行并验证:
sudo firewall-cmd --add-port=80/tcp --permanent & & sudo firewall-cmd --reload→sudo firewall-cmd --list-ports应含 80/tcp → 外部curl验证。
- 放行并验证:
四、常见故障点与快速排查
- 服务未监听:用
ss -tulpen确认服务已在目标端口监听,否则先修复服务。 - 默认策略过严:UFW 默认入站为 deny,确保已
sudo ufw allow < 端口> /< 协议>;iptables 若设INPUT DROP,需显式放行所需端口/来源。 - 规则顺序问题:iptables 从上到下匹配,命中即停止;必要时调整顺序或用
-I(插入到链首)优先匹配。 - 日志定位:UFW 开启日志后查 /var/log/ufw.log;iptables 可用
sudo iptables -L -v -n观察 pkts/bytes 计数是否增加。 - 云厂商安全组:除系统防火墙外,还需放行云平台安全组/NACL 对应端口与来源网段。
五、安全提示
- 远程修改防火墙时,务必先放行 SSH(22/tcp) 或使用 控制台/带外管理,避免被锁死。
- 变更前备份规则:iptables 可用
iptables-save > /etc/iptables/rules.v4;UFW 变更后sudo ufw status verbose复核。 - 生产环境建议先在测试环境验证,再推广上线。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: debian防火墙怎么测试
本文地址: https://pptw.com/jishu/778450.html