Linux防火墙压力测试实操指南

一、测试目标与总体思路
二、准备与基线测量
ss -s、netstat -an | grep :80 | grep EST -c)、以及现有防火墙规则(iptables -nL -v、nft list ruleset 或 firewall-cmd --list-all)。三、HTTP层压力测试
ab -n 100000 -c 40 http://目标IP/test.txt(总请求数 100000、并发 40)ss -s 或 netstat -an | grep :80 | grep EST -c 观察并发连接变化。wrk -t12 -c400 -d30s http://目标IP/(线程 12、并发 400、持续 30s)siege -c 200 -t 60s http://目标IP/四、规则与连接限制验证
iptables -I INPUT -p tcp -s 192.168.1.190 --dport 80 -j ACCEPT(仅放行 192.168.1.190 访问 80)iptables -I INPUT -p tcp --dport 80 -s 192.168.1.190 -m connlimit --connlimit-above 10 -j REJECT(单源并发上限 10)iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(已建立/相关连接放行)iptables -nL -v)、日志(若有 LOG 规则)、连接表与 HTTP 成功率的变化。五、网络层与异常流量测试
nmap -sS 目标IP(半开扫描,常用于探测)nmap -sT 目标IPnmap -sV 目标IPtcpdump host 目标IP -w scan.pcap,事后分析 SYN/ACK/RST 响应与防火墙行为。ftest -f firewall_test.conf(按场景配置发送 TCP/UDP/ICMP 等流量,含分片、TTL、RST 插入等规避手段用于 IDS 测试)