在本文中,我们将介绍如何在Debian 10(Buster)操作系统上安装和配置Firewalld,Firewalld是RHEL系列的默认防火墙软件,但它也可以在Debian系列Linux发行版上使用。

在Debian 10(Buster)上安装Firewalld

firewalld包可以在官方的Debian 10 apt存储库中得到,运行以下命令安装:

sudo apt update
sudo apt -y install firewalld

这将在Debian 10上安装firewalld并将服务设置为在启动时启动:

apt policy firewalld

firewalld:

Installed: 0.6.3-5

Candidate: 0.6.3-5

Version table:

* 0.6.3-5 500

500 http://deb.debian.org/debian buster/main amd64 Packages

100 /var/lib/dpkg/status

确认服务处于运行状态:

sudo firewall-cmd --state

running

$ systemctl status firewalld

如果已启用ufw,请将其禁用以使firewalld成为你的默认防火墙:

sudo ufw disable

在Debian 10上使用Firewalld

既然已经安装了软件包并且启动了firewalld服务,那么让我们看一下如何使用它来保护服务器/工作站,以下是一些使用示例。

1、列出配置的所有防火墙规则

要列出当前规则,请使用以下命令:

sudo firewall-cmd --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces: ens33

sources:

services: dhcpv6-client ssh

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

启动firewalld服务时,默认情况下允许使用ssh和dhcpv6-client服务。

2、列出可以启用/禁用的服务

要获取可以启用或禁用的服务的完整列表,请使用以下命令:

sudo firewall-cmd --get-services

3、启用服务/服务列表

要在防火墙上允许服务,命令语法为:

sudo firewall-cmd --add-service="servicename" --permanent

以下示例将启用http服务:

sudo firewall-cmd --add-service="http" --permanent

success

sudo firewall-cmd --reload

有关服务列表,请使用逗号分隔它们:

sudo firewall-cmd --add-service={http,https,smtp,imap} --permanent --zone=public
sudo firewall-cmd --reload

4、启用TCP端口

启用TCP端口的语法是:

sudo firewall-cmd --add-port=port/tcp --permanent
sudo firewall-cmd --reload

以下是启用8080和8443端口的方法:

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --zone=public --add-port={8080,8443}/tcp --permanent
sudo firewall-cmd --reload

对于UDP端口,将/tcp替换为/udp。

5、创建一个新区域

要创建新的防火墙区域,请使用以下命令:

sudo firewall-cmd --new-zone=zonename --permanent

例如:

sudo firewall-cmd --new-zone=private --permanent
sudo firewall-cmd --reload

6、在特定区域上启用服务/端口

要在特定区域中启用服务/端口,语法为:

sudo firewall-cmd --zone=<zone> --add-port=<port>/tcp --permanent
sudo firewall-cmd --zone=<zone> --add-port=<port>/udp --permanent
sudo firewall-cmd --zone=<zone> --add-service=<service> --permanent
sudo firewall-cmd --zone=<zone> --add-service={service1,service2,service3} --permanent

7、向区域添加接口

对于具有多个接口的系统,可以向区域添加接口,后端Web服务器到私有区域,前端应用程序到公共区域:

sudo firewall-cmd --get-zone-of-interface=eth1 --permanent
sudo firewall-cmd --zone=<zone> --add-interface=eth1 --permanent

8、允许从特定子网/IP访问端口

可以将对服务或端口的访问限制为来自特定IP地址或子网,使用丰富的规则:

sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \
source address="192.168.0.12/32" accept' --permanent
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \
source address="10.1.1.0/24" accept' --permanent

9、列出丰富的规则

sudo firewall-cmd --list-rich-rules

10、配置端口转发

见下面的例子:

Enable masquerading

sudo firewall-cmd --add-masquerade --permanent

Port forward to a different port within same server ( 22 > 2022)

sudo firewall-cmd --add-forward-port=port=22:proto=tcp:toport=2022 --permanent

Port forward to same port on a different server (local:22 > 192.168.2.10:22)

sudo firewall-cmd --add-forward-port=port=22:proto=tcp:toaddr=192.168.2.10 --permanent

Port forward to different port on a different server (local:7071 > 10.50.142.37:9071)

sudo firewall-cmd --add-forward-port=port=7071:proto=tcp:toport=9071:toaddr=10.50.142.37 --permanent

11、删除端口或服务

要从防火墙中删除端口或服务,请在启用服务中使用的每个命令中将--add替换为--remove。

来源:https://ywnz.com/linuxaq/5495.html

标签: Firewalld, Debian 10, Buster

添加新评论