debian防火墙如何查看连接状态

Debian 防火墙查看连接状态

一、先确认正在使用的防火墙工具

• 查看 UFW：执行 sudo ufw status 或 sudo ufw status verbose，若显示 Status: active 表示防火墙已启用。UFW 是 Debian 上常用的前端工具，便于快速查看与管理规则。
• 查看 nftables：执行 sudo nft list ruleset，若能看到表/链/规则，说明正在使用 nftables。
• 查看 iptables：执行 sudo iptables -L -n -v，若能看到各链规则，说明在使用 iptables。

二、查看连接跟踪与活动连接

• 使用 conntrack 查看连接跟踪表（最直观的“连接状态”）

  • 安装：sudo apt install conntrack
  • 列出全部连接：sudo conntrack -L
  • 按协议/地址/端口过滤示例：
    • sudo conntrack -L -p tcp --src-nat
    • sudo conntrack -L -p udp --src 192.168.1.10 --dport 53
  • 开启字节/包计数与时间戳：sudo sysctl net.netfilter.nf_conntrack_acct=1 与 sudo sysctl net.netfilter.nf_conntrack_timestamp=1，再用 conntrack -L --output ktimestamp,packets,bytes 查看。
  • 清理指定连接：sudo conntrack -D -p udp --src 10.0.0.1 --dport 12345（示例）。

• 使用 /proc/net/nf_conntrack 直接查看内核连接跟踪表

  • 执行：cat /proc/net/nf_conntrack
  • 适合快速排查，输出与 conntrack 类似，包含 源/目的 IP、端口、协议、状态 等。

三、结合防火墙规则查看状态匹配情况

• iptables 状态匹配与查看

  • 规则示例：sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  • 查看规则与命中计数：sudo iptables -L -n -v（关注 pkts/bytes 的增长，判断是否命中状态规则）。

• nftables 状态匹配与查看

  • 规则示例：sudo nft add rule ip filter input ct state established,related accept
  • 查看规则集：sudo nft list ruleset（确认包含 ct state 的规则）。

四、实用排查建议

• 若连接未建立，先确认规则是否允许 NEW 方向的新连接，同时对返回流量放行 ESTABLISHED,RELATED。
• 使用 conntrack -L 观察对应四元组与状态（如 ESTABLISHED/TIME_WAIT），配合 iptables/nftables -L -n -v 看命中计数是否增加。
• 需要定位端口/连通性时，可临时用 nc -vz <host> <port> 或 telnet <host> <port> 做端到端验证，再回到防火墙与 conntrack 进一步排查。