---

一、"我的网站怎么被黑成筛子了？"——从一场深夜报警说起

凌晨3点接到报警短信时（别问为什么运维狗的手机24小时开机），我亲眼看到自家电商平台的登录接口正在被东欧IP疯狂爆破。手抖着连上服务器第一反应就是："我去年买的防火墙是摆设吗？！"

结果发现——新来的实习生小张在配置Nginx时，"顺手"把防火墙规则清空了！这个故事告诉我们：查看服务器防火墙状态就像定期体检 ，你永远不知道哪个熊孩子会给你埋雷。（此时一位路过的运维默默打开了记事本）

二、四大门派防火术——总有一款适合你

1. 少林派iptables（经典永流传）

输入`iptables -L -n -v`就像打开武功秘籍：

```

Chain INPUT (policy DROP 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

666 48666 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

这串数字翻译成人话就是："只允许SSH登录（22端口），其他请求都给爷爬！"

*注意看第三列policy DROP——这就是传说中的默认拒绝策略* ，相当于小区门卫拿着你的照片说："不是业主？连小区大门都别想进！"

2. 武当派firewalld（红帽系的太极宗师）

新时代的守护者喜欢用`firewall-cmd --list-all`：

public (active)

target: default

icmp-block-inversion: no

interfaces: eth0

services: ssh dhcpv6-client http https

看到services里明晃晃的http/https了吗？这说明你的网站已经对全世界敞开了80和443端口大门。曾经有兄弟在这里看到mysql3306端口开放吓得连夜改密码——后来发现是测试环境忘了关（别问我是谁）

3. 逍遥派UFW（Ubuntu派的佛系青年）

输入`ufw status numbered`会得到极简主义报告：

Status: active

To Action From

-- ------ ----

[1] 22/tcp ALLOW IN Anywhere

[2] 80/tcp ALLOW IN 192.168.1.0/24

这界面就像宜家说明书一样友好。[2]号规则特别有意思：只允许内网访问网站？看来这位管理员深谙"扮猪吃老虎"之道啊！

4. 西域明教·云厂商流派

阿里云/AWS/腾讯云的安全组才是终极BOSS：

- AWS的安全组像俄罗斯套娃：入站规则、出站规则、关联实例层层嵌套

- 阿里云的经典操作："为什么开了安全组还是连不上？"——因为没绑定弹性公网IP啊亲！

- GCP更刺激：默认全拒绝策略+优先级系统让人梦回高考数学压轴题

三、三大翻车现场实录（含事故截图）

▎案例1："我的规则怎么不生效？！"

某程序员在iptables添加了3306端口允许规则后自信喝茶——结果数据库依然拒绝连接。后来发现他忘记保存规则到`/etc/sysconfig/iptables`文件！这就好比给防盗门换了锁芯却忘了带钥匙出门...

▎案例2："安全组全绿为何还被DDoS？"

某电商大促期间遭遇CC攻击后检查阿里云控制台："所有安全组都显示正常啊！" 最终发现攻击者通过CDN回源IP绕过了防护——原来安全组里白名单写的是CDN的IP段而不是真实用户IP！

▎案例3："Firewalld和iptables打架事件"

同时启用firewalld和iptables就像让甄嬛和华妃共处一室——当你在firewalld开了80端口却用iptables追加DROP规则时...建议新手直接背诵《Linux防火墙防撕逼指南》第一条："永远不要混用两种管理工具！"

四、祖传秘方：三个保命口诀

1. 查完状态查日志 ：`journalctl -u firewalld -f`实时监控动态变化

2. 云环境双重验证 ：控制台安全组+实例本地防火墙双保险

3. 模拟攻击自检法 ：用另一台服务器执行`telnet your_ip port`测试实际连通性

最后友情提示：修改防火墙前请默念三遍「先备份再操作」，否则你可能成为下一个在凌晨三点哭着敲老板门的倒霉蛋...（别问我怎么知道的）

TAG:查看服务器防火墙,查看服务器防火墙状态命令,查看服务器防火墙端口号命令,查看服务器防火墙规则