Linux防火墙关闭状态如何查看？

在Linux系统中，防火墙是保护服务器和网络的关键组件，有时，您可能需要检查防火墙是否关闭，例如在进行故障排查、测试服务连接或确保安全策略时，本文将详细指导您如何检查Linux防火墙的状态，覆盖常见的防火墙工具（如iptables、firewalld和ufw），并提供清晰的命令示例，无论您使用的是Ubuntu、CentOS、Debian还是其他发行版，这些方法都适用，请确保以root或sudo权限执行命令,以获得准确结果。

为什么需要检查防火墙状态？

Linux防火墙控制入站和出站流量，防止未授权访问，如果防火墙意外关闭，系统可能面临安全风险；反之，如果开启但配置不当，可能阻塞合法连接,检查状态有助于：

• 验证安全策略是否生效。
• 诊断网络问题（如服务无法访问）。
• 确保系统符合合规要求。

以下方法基于标准Linux工具，操作简单可靠，关闭防火墙仅用于测试目的,在生产环境中应始终保持开启并正确配置。

方法1：检查iptables防火墙状态

iptables是Linux的传统防火墙工具，常用于较旧的发行版（如Debian或Ubuntu旧版本）,它通过规则链管理流量。

步骤：

1. 查看iptables规则：运行以下命令列出所有规则，如果防火墙关闭,输出将显示空规则或默认允许所有流量。

   sudo iptables -L

   • 解读输出：
     • 如果看到类似Chain INPUT (policy ACCEPT)的行，表示输入链默认允许所有流量（防火墙可能关闭）。
     • 如果输出为空或只有标题（如Chain INPUT (policy DROP)），但无具体规则,防火墙可能部分开启。
     • 关键点：防火墙关闭时，所有链（INPUT、FORWARD、OUTPUT）的默认策略应为ACCEPT，如果任一链为DROP或REJECT,防火墙未完全关闭。

2. 检查规则计数：确认规则是否为空,进一步验证状态。

   sudo iptables -S

   • 如果输出只有-P INPUT ACCEPT等默认策略，无自定义规则,防火墙很可能关闭。

3. 使用详细命令：结合-v选项查看详细信息。

   

   sudo iptables -L -v

   pkts”和“bytes”计数为0，且策略为ACCEPT,表明防火墙未激活。

注意：iptables状态是临时的，重启后可能重置，如果系统使用firewalld或ufw，优先检查它们,因为iptables可能被这些工具管理。

方法2：检查firewalld防火墙状态

firewalld是Red Hat系发行版（如CentOS、RHEL、Fedora）的默认防火墙管理工具,提供动态规则控制。

步骤：

1. 查看firewalld服务状态：运行systemctl命令检查服务是否运行。

   sudo systemctl status firewalld

   • 解读输出：
     • 如果显示Active: active (running),防火墙开启。
     • 如果显示Active: inactive (dead),防火墙关闭。
     • 输出示例：

       ● firewalld.service - firewalld - dynamic firewall daemon
          Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
          Active: inactive (dead) since Tue 2025-10-05 10:00:00 UTC; 1min ago  # 这里显示inactive，表示关闭

2. 检查防火墙运行时状态：使用firewall-cmd工具获取当前配置。

   sudo firewall-cmd --state

   • 输出not running表示防火墙关闭；running表示开启。

3. 查看默认区域规则：确认是否有活动规则。

   sudo firewall-cmd --list-all

   • 如果输出显示services:和ports:为空，且无拒绝规则，防火墙可能未生效，但服务状态（–state）是更可靠的指标。

提示：在CentOS 8+或Fedora中，firewalld默认启用，如果关闭，建议用sudo systemctl stop firewalld临时停止，或sudo systemctl disable firewalld永久禁用（不推荐）。

方法3：检查ufw防火墙状态

ufw（Uncomplicated Firewall）是Ubuntu和Debian系的简化工具,基于iptables构建。

步骤：

1. 查看ufw服务状态：直接运行ufw命令检查状态。

   sudo ufw status

   • 解读输出：
     • 输出Status: inactive表示防火墙关闭。
     • 输出Status: active表示开启,并列出规则。
     • 示例关闭输出：

       Status: inactive  # 关键行，确认关闭

2. 使用详细模式：添加verbose选项获取更多信息。

   sudo ufw status verbose

   • 如果显示Status: inactive，且无规则细节,防火墙已关闭。

3. 检查系统服务：验证ufw后台服务。

   sudo systemctl status ufw

   • 输出Active: inactive (dead)确认关闭。

注意：ufw是用户友好的工具，如果输出inactive，防火墙完全关闭；开启时用sudo ufw enable激活。

如何确认防火墙完全关闭？

• 综合检查：在大多数系统，运行多个命令避免误判：

  # 检查所有工具
  sudo iptables -L  # 空规则或ACCEPT策略
  sudo firewall-cmd --state 2>/dev/null || echo "firewalld not installed"  # 忽略未安装错误
  sudo ufw status 2>/dev/null || echo "ufw not installed"

  如果所有输出显示关闭或无活动规则,防火墙已关闭。

• 工具优先级：系统可能同时安装多个工具（如firewalld管理iptables），优先检查发行版默认工具：
  • Ubuntu/Debian：先查ufw。
  • CentOS/RHEL：先查firewalld。
  • 通用：iptables作为后备。

安全注意事项

• 临时 vs 永久关闭：命令如systemctl stop firewalld只临时关闭；重启后恢复，永久关闭需systemctl disable firewalld，但强烈不推荐,除非在隔离环境测试。
• 风险提示：关闭防火墙暴露系统于网络攻击，仅在受信网络测试，并立即重新开启：

  sudo ufw enable  # 对于ufw
  sudo systemctl start firewalld  # 对于firewalld

• 最佳实践：使用工具如nmap扫描端口（nmap localhost）验证防火墙效果，如果所有端口开放,防火墙可能关闭。
• 文档参考：详见官方手册（man iptables、man firewalld、man ufw）或在线资源如Linux man pages。

检查Linux防火墙是否关闭涉及针对不同工具运行简单命令：对于iptables，使用iptables -L查看规则策略；对于firewalld，运行systemctl status firewalld或firewall-cmd --state；对于ufw，执行ufw status，输出中的“inactive”或“ACCEPT”策略表明关闭，始终以sudo权限操作，并在测试后恢复防火墙以确保安全，如果您遇到问题,建议查阅发行版文档或咨询专业管理员。

引用说明基于Linux官方文档和常见管理实践,参考来源包括：

• iptables man page
• firewalld documentation
• ufw Ubuntu手册
• 通用Linux安全指南（如Red Hat或Canonical官方资源）。