如何在Linux中查看端口防火墙设置？

在Linux系统中，防火墙用于控制进出系统的数据流，确保只有授权的流量能够通过，查看Linux防火墙开放的端口是系统管理员和安全专家的重要任务之一，本文将详细介绍如何使用不同的方法查看Linux防火墙的开放端口，并附上常见问题解答。

使用firewalld查看防火墙开放的端口

firewalld是一个动态管理防火墙的工具，适用于CentOS/RHEL 7+，以下是使用firewalld查看防火墙状态和开放端口的方法：

1、查看firewalld状态：

    sudo systemctl status firewalld

该命令显示firewalld服务的状态，如是否正在运行。

2、查看所有开放的端口：

    sudo firewall-cmd --list-ports

该命令列出所有已开放的端口。

3、查看指定zone（如public）的开放端口：

    sudo firewall-cmd --zone=public --list-ports

该命令列出public区域中的所有开放端口。

使用iptables查看防火墙开放的端口

iptables是一个常用的防火墙工具，适用于多种Linux发行版，以下是使用iptables查看防火墙状态和规则的方法：

1、查看iptables状态：

    sudo systemctl status iptables

该命令显示iptables服务的状态。

2、查看所有iptables规则：

    sudo iptables -L -n -v

该命令列出所有iptables规则，包括输入、转发和输出链的规则。

使用ufw查看防火墙开放的端口

ufw（Uncomplicated Firewall）是Ubuntu/Debian系统的默认防火墙工具，以下是使用ufw查看防火墙状态和规则的方法：

1、查看ufw状态：

    sudo ufw status

该命令列出所有的ufw规则，包括允许或拒绝的端口。

使用nftables查看防火墙开放的端口

nftables是新一代防火墙工具，可以替代iptables，以下是使用nftables查看防火墙规则的方法：

1、查看所有规则：

    sudo nft list ruleset

该命令列出所有规则集中的规则。

2、查看特定链的规则：

    sudo nft list chain ip filter input

该命令查看input链中的所有规则。

3、查看开放的端口：

    sudo nft list chain ip filter input | grep "accept tcp dport"

该命令查找允许TCP流量进入的规则。

使用netstat或ss命令查看监听端口

虽然netstat或ss命令不是直接查看防火墙开放端口的工具，但它们可以显示系统上哪些端口正在被监听，这有助于了解哪些服务可能正在运行并可能通过防火墙开放端口。

1、使用netstat查看所有TCP监听端口：

    sudo netstat -tuln

该命令显示所有监听的TCP端口。

2、使用ss命令查看监听端口：

    sudo ss -tuln

该命令显示所有监听的端口，较新版本的Linux系统可能更常用。

使用其他方法或工具

除了上述方法，还可以使用其他工具和方法来查看防火墙开放的端口：

1、使用nmap工具：

安装nmap：

      sudo apt-get install nmap  #对于Debian/Ubuntu系统
      sudo yum install nmap  #对于CentOS/RHEL系统

使用nmap扫描本地主机的开放端口：

      sudo nmap -sT -O localhost

或者，如果只想扫描特定的端口范围：

      sudo nmap -p 1-65535 localhost

2、检查防火墙配置文件：

对于某些Linux发行版和防火墙配置，可以直接检查防火墙的配置文件来了解哪些端口是开放的，对于firewalld，可以查看/etc/firewalld/目录下的配置文件；对于iptables，可以查看/etc/sysconfig/iptables或/etc/iptables/rules.v4等文件。

3、使用系统日志：

在某些情况下，系统日志（如/var/log/messages、/var/log/syslog等）中可能包含与防火墙相关的信息，可以使用grep搜索日志文件中的端口信息。

      grep "port number" /var/log/messages

若知道特定的端口号，可直接搜索该端口号。

注意事项

1、权限要求：大多数防火墙相关命令需要超级用户权限，因此需要在命令前加上sudo。

2、准确性：不同工具和方法的准确性可能因具体的Linux发行版和防火墙配置而异，建议结合多种方法进行验证。

3、日志可用性：系统日志的可用性和完整性也会影响结果的准确性，确保日志记录功能正常开启。

4、安全性：在查看和修改防火墙规则时，务必小心谨慎，避免误操作导致系统安全问题。

FAQs

Q1: 如何查看某个特定端口是否开放？

A1: 可以使用以下几种方法查看特定端口是否开放：

1、使用firewall-cmd查询特定端口：

   sudo firewall-cmd --query-port=666/tcp

提示yes表示开启，no表示未开启。

2、使用netstat或ss命令结合grep过滤特定端口：

   sudo netstat -tuln | grep :8080

或者：

   sudo ss -tuln | grep :8080

3、使用nmap扫描特定端口：

   sudo nmap -p 8080 localhost

Q2: 如何更改防火墙规则以开放新的端口？

A2: 根据使用的防火墙工具，步骤有所不同：

1、对于firewalld：

添加TCP端口：

     sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

重新加载防火墙配置：

     sudo firewall-cmd --reload

2、对于iptables：

插入新规则以开放端口：

     sudo iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

保存规则并重启iptables服务：

     sudo service iptables save
     sudo systemctl restart iptables

3、对于ufw：

允许特定端口：

     sudo ufw allow 8080/tcp

4、对于nftables：

添加新规则以开放端口：

     sudo nft add rule inet filter input tcp dport 8080 accept