98300

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz

[Debian] 在Debian 10(Buster)上安装和配置Firewalld的方法

[复制链接]
发表于 2020-6-3 15:35:45 | 显示全部楼层 |阅读模式
在本文中,我们将介绍如何在Debian 10(Buster)操作系统上安装和配置Firewalld,Firewalld是RHEL系列的默认防火墙软件,但它也可以在Debian系列Linux发行版上使用。


在Debian 10(Buster)上安装Firewalld

firewalld包可以在官方的Debian 10 apt存储库中得到,运行以下命令安装:

sudo apt update

sudo apt -y install firewalld

这将在Debian 10上安装firewalld并将服务设置为在启动时启动:

$ apt policy firewalld

firewalld:

Installed: 0.6.3-5

Candidate: 0.6.3-5

Version table:

*** 0.6.3-5 500

500 http://deb.debian.org/debian buster/main amd64 Packages

100 /var/lib/dpkg/status

确认服务处于运行状态:

$ sudo firewall-cmd --state

running

$ systemctl status firewalld

在Debian 10(Buster)上安装和配置Firewalld的方法

如果已启用ufw,请将其禁用以使firewalld成为你的默认防火墙:

sudo ufw disable

参考:Debian、Ubuntu、Linux Mint系统中的UFW防火墙入门教程。



在Debian 10上使用Firewalld

既然已经安装了软件包并且启动了firewalld服务,那么让我们看一下如何使用它来保护服务器/工作站,以下是一些使用示例。

1、列出配置的所有防火墙规则

要列出当前规则,请使用以下命令:

$ sudo firewall-cmd --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces: ens33

sources:

services: dhcpv6-client ssh

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

启动firewalld服务时,默认情况下允许使用ssh和dhcpv6-client服务。

2、列出可以启用/禁用的服务

要获取可以启用或禁用的服务的完整列表,请使用以下命令:

sudo firewall-cmd --get-services

3、启用服务/服务列表

要在防火墙上允许服务,命令语法为:

$ sudo firewall-cmd --add-service="servicename" --permanent

以下示例将启用http服务:

$ sudo firewall-cmd --add-service="http" --permanent

success

$ sudo firewall-cmd --reload

有关服务列表,请使用逗号分隔它们:

$ sudo firewall-cmd --add-service={http,https,smtp,imap} --permanent --zone=public

$ sudo firewall-cmd --reload

4、启用TCP端口

启用TCP端口的语法是:

$ sudo firewall-cmd --add-port=port/tcp --permanent

$ sudo firewall-cmd --reload

以下是启用8080和8443端口的方法:

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

sudo firewall-cmd --zone=public --add-port={8080,8443}/tcp --permanent

sudo firewall-cmd --reload

对于UDP端口,将/tcp替换为/udp。

5、创建一个新区域

要创建新的防火墙区域,请使用以下命令:

$ sudo firewall-cmd --new-zone=zonename --permanent

例如:

$ sudo firewall-cmd --new-zone=private --permanent

$ sudo firewall-cmd --reload

6、在特定区域上启用服务/端口

要在特定区域中启用服务/端口,语法为:

sudo firewall-cmd --zone=<zone> --add-port=<port>/tcp --permanent

sudo firewall-cmd --zone=<zone> --add-port=<port>/udp --permanent

sudo firewall-cmd --zone=<zone> --add-service=<service> --permanent

sudo firewall-cmd --zone=<zone> --add-service={service1,service2,service3} --permanent

7、向区域添加接口

对于具有多个接口的系统,可以向区域添加接口,后端Web服务器到私有区域,前端应用程序到公共区域:

sudo firewall-cmd --get-zone-of-interface=eth1 --permanent

sudo firewall-cmd --zone=<zone> --add-interface=eth1 --permanent

8、允许从特定子网/IP访问端口

可以将对服务或端口的访问限制为来自特定IP地址或子网,使用丰富的规则:

$ sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \

source address="192.168.0.12/32" accept' --permanent

$ sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \

source address="10.1.1.0/24" accept' --permanent

9、列出丰富的规则

sudo firewall-cmd --list-rich-rules

10、配置端口转发

见下面的例子:

# Enable masquerading

$ sudo firewall-cmd --add-masquerade --permanent

# Port forward to a different port within same server ( 22 > 2022)

$ sudo firewall-cmd --add-forward-port=port=22:proto=tcp:toport=2022 --permanent

# Port forward to same port on a different server (local:22 > 192.168.2.10:22)

$ sudo firewall-cmd --add-forward-port=port=22:proto=tcp:toaddr=192.168.2.10 --permanent

# Port forward to different port on a different server (local:7071 > 10.50.142.37:9071)

$ sudo firewall-cmd --add-forward-port=port=7071:proto=tcp:toport=9071:toaddr=10.50.142.37 --permanent

11、删除端口或服务

要从防火墙中删除端口或服务,请在启用服务中使用的每个命令中将--add替换为--remove。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


QQ|Archiver|手机版|小黑屋|番茄论坛

GMT+8, 2020-7-3 21:46 , Processed in 0.137375 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表