在 DEBIAN系统上安装 FIREWALLD

Firewalld 是防火墙解决方案的一项创新，它成为 Debian 用户的安全灯塔，承诺动态和多功能的系统防御。它超越了防火墙管理的传统静态性质，为系统保护提供了全新的视角。Firewalld 在运行时动态处理变化的天生能力是它与 iptables 和 ufw 的显着区别，使其成为重视适应性和便利性的 Debian 用户的一个令人信服的选择。

Firewalld 与 iptables 和 ufw 的比较揭示了它为何在 Debian 用户中流行。

• 与按数据包管理规则的 iptables 不同，Firewalld 采用更加用户友好的基于区域的方法。该方案显着简化了处理传入和传出连接的过程。
• Firewalld 的动态特性允许更改立即生效，无需重新启动防火墙，这是 iptables 无法提供的便利。使用 iptables，必须重新加载或重新启动服务才能实现更改，这可能会中断已建立的连接。
• 在命令简单性方面，Firewalld 再次显示出优于 ufw 的优势。其命令更加直观，更易于使用，特别是对于新用户而言。
• Firewalld 提供广泛的文档和支持，这提高了其在替代方案中的地位。其卓越的文档和更广泛的用户社区使问题解决更快、更有效。

Firewalld 与 Debian 的兼容性使其成为该操作系统的出色选择。Firewalld 的动态功能与 Debian 著名的稳定性之间的强大协同作用为桌面用户和服务器管理员提供了无缝体验。

即将发布的指南将侧重于实用性和直接应用，概述了在 Debian 12 Bookworm、Debian 11 Bullseye 或 Debian 10 Buster 上安装 Firewalld 的分步说明。除此之外，它将深入了解 Firewalld 命令的基础知识，这将能够快速有效地开始保护 Debian 环境。

在 DEBIAN 上安装 FIREWALLD

刷新Debian系统包信息

在开始安装任何新软件之前，更新 Debian 系统软件包数据库至关重要。此操作可确保系统上的所有软件和相关依赖项都是最新的，并降低与新安装的软件发生冲突或兼容性问题的风险。要更新系统软件包，请使用命令sudo apt update。这指示系统从配置的存储库中获取最新的包信息。

sudo apt update

此命令指示系统从所有配置的存储库中获取最新的包数据。

执行 Firewalld 安装

使用系统更新的软件包信息，现在可以安装 Firewalld。Debian 软件包管理器（也称为 APT）简化了此任务。要启动安装，请运行以下命令：

sudo apt install firewalld

此命令通知程序包管理器应下载并安装 Firewalld 软件包。

Firewalld 安装的验证和激活

成功安装 Firewalld 后，必须验证安装并确保其设置为按要求运行。使用以下命令验证系统上安装的 Firewalld 版本：

firewall-cmd --version

该命令旨在返回已安装的Firewalld的版本号，从而确认安装成功。

是时候激活 Firewalld 以确保它在系统启动时自动启动。以下命令可实现此目的：

sudo systemctl enable --now firewalld

了解 FIREWALLD 区域

Firewalld 利用“区域”的概念来管理其防火墙规则。区域本质上是预定义的规则，根据计算机所连接的网络的信任级别来规定应允许哪些流量。区域范围从高度限制到相当开放，允许采取不同的安全态势。

例如，“公共”区域适用于不信任大多数其他计算机的公共场所的网络。相反，“家庭”区域可用于信任大多数其他计算机的家庭网络。

Firewalld 附带多个预定义区域，包括但不限于：丢弃、阻止、公共、外部、DMZ、工作、家庭、内部和受信任。每个区域都满足特定的需求和场景，允许根据环境进行灵活的防火墙配置。

FIREWALLD 语法和选项

Firewalld 命令的一般语法非常简单：

firewall-cmd [options] command

以下是语法组件的简要说明：

• firewall-cmd：这是用于 Firewalld 操作的主要命令。
• options：这些修改命令的行为。它们是可选的并且可以省略。
• command：指定要执行的操作。

当谈到选项时，Firewalld 提供了多种选择。一些常用的包括：

• --zone=zone：指定要操作的区域。如果未指定区域，则使用默认区域。
• --add-service=service：将指定的服务添加到区域中。更改立即生效，但在重新启动后不会持续存在，除非--permanent添加。
• --get-active-zones：列出所有当前活动的区域及其关联的接口。
• --get-services：列出 Firewalld 已知的所有可用服务。
• --reload：重新加载 Firewalld 配置，--permanent无需重新启动系统即可实施所做的任何更改。

请记住，上述选项仅代表 Firewalld 所提供功能的一小部分。根据具体需求和网络设置的复杂性，可能需要探索其他选项和命令。man firewall-cmd有关更多详细信息，可以随时通过在终端中运行来查阅 Firewalld 手册页。

现在已经了解了 Firewalld 区域和命令语法，让我们继续了解Firewalld 命令示例。

FIREWALLD 的基本命令

在本节中，我们将深入研究最常用的 Firewalld 命令。这些命令对于管理和配置 Firewalld 设置至关重要，能够有效保护 Debian 环境。

列出所有活动的 Firewalld 区域

了解 Firewalld 安装上哪些区域处于活动状态为管理防火墙配置奠定了坚实的基础。可以使用以下命令检索此信息：

sudo firewall-cmd --get-active-zones

此命令提示 Firewalld 列出所有活动区域，每个区域都附有其关联的网络接口。

显示默认区域

要查看 Firewalld 中配置的默认区域，请执行以下命令：

sudo firewall-cmd --get-default-zone

此命令的输出指定默认区域，这对于理解应用于传入网络连接的默认安全策略和服务至关重要。

更改默认区域

如果想更改默认区域，可以使用以下命令：

sudo firewall-cmd --set-default-zone=your_zone_name

通过替换your_zone_name为实际区域名称，可以更改 Firewalld 安装的默认区域。

在区域中列出服务

了解特定区域允许哪些服务通常是必要的。这可以通过以下方式实现：

sudo firewall-cmd --zone=your_zone_name --list-services

只需替换your_zone_name为要列出允许的服务的区域的名称即可。

将服务添加到区域

要将新服务添加到区域，请使用以下命令：

sudo firewall-cmd --zone=your_zone_name --add-service=your_service_name

使用此命令，your_service_name将被添加到your_zone_name. 请务必将这些占位符替换为实际服务和区域名称。

深入探讨：高级 FIREWALLD 命令和场景

Firewalld 提供了一套全面的高级命令和功能，可以对防火墙设置进行精细控制。让我们深入研究这些命令，提供必要的知识来处理网络管理任务中可能出现的复杂场景。

使用 Firewalld 进行高级防火墙管理

定义新服务

如果有一个在预定义服务中不可用的特定端口上运行的自定义应用程序，可以定义自己的服务。这可以通过以下命令来实现：

sudo firewall-cmd --permanent --new-service=myservice

随后，可以添加自定义服务的设置。例如，要为服务设置一个简短的描述性名称：

sudo firewall-cmd --permanent --service=myservice --set-short="My Custom Service"

调整默认区域

当没有为传入连接定义特定区域时，将使用默认区域。可以调整默认区域以满足要求：

sudo firewall-cmd --set-default-zone=home

此命令将默认区域设置为“home”。确保根据网络环境和安全要求将“home”替换为所需的区域。

创建自定义区域

如果预定义区域不能满足需求，可以创建自定义区域：

sudo firewall-cmd --permanent --new-zone=customzone

创建区域后，可以通过添加或删除服务、端口等来修改它，以符合规范。

启用伪装

当系统充当网络中其他系统的网关或路由器时，通常会使用伪装。要在特定区域启用伪装，请使用：

sudo firewall-cmd --zone=public --add-masquerade

请记住，将“public”替换为要启用伪装的区域。

转发端口

Firewalld 还允许将特定端口转发到另一个端口。这在许多场景中都是有益的，例如在非标准端口上运行服务时：

sudo firewall-cmd --zone=public --add-forward-port=port=5000:proto=tcp:toport=80

此命令将所有传入 TCP 连接从端口 5000 转发到“公共”区域中的端口 80。

这些示例仅代表 Firewalld 高级功能的一小部分。根据特定网络和安全需求，还有更多命令和选项可用。有关更多信息，请参阅 Firewalld 的官方文档或使用“man”命令。

应对挑战：排除 FIREWALLD 问题

管理防火墙有时可能很复杂，并且可能会遇到问题。然而，Firewalld 提供了一套全面的故障排除工具和技术来帮助解决此类挑战。本节将指导诊断和修复常见的 Firewalld 问题。

调查 Firewalld 问题

检查 Firewalld 状态

诊断任何 Firewalld 问题的第一步是检查服务状态。这可以使用以下命令来完成：

systemctl status firewalld

此命令提供有关 Firewalld 服务状态、是否处于活动状态以及在启动过程中是否遇到任何错误的信息。

查看 Firewalld 日志

在排除问题时，Firewalld 日志可能是信息的金矿。默认情况下，Firewalld 将事件记录到系统日志中，可以使用以下方式访问该日志：

sudo journalctl -u firewalld

此命令将输出 Firewalld 相关日志，帮助查明错误或异常行为。

验证配置

Firewalld 在该目录中维护其配置文件/etc/firewalld/。如果遇到问题，最好验证这些配置文件是否存在任何错误或差异：

sudo less /etc/firewalld/firewalld.conf

此命令允许查看主 Firewalld 配置文件。

解决常见的 Firewalld 问题

问题：Firewalld 不响应命令

在某些情况下，可能会发现 Firewalld 没有按预期响应命令。解决此问题的第一步是重新加载 Firewalld。这可以通过使用以下命令来完成：

sudo firewall-cmd --reload

此命令从磁盘重新加载 Firewalld 配置并放弃所有尚未永久保存的临时更改。但是，它不会删除所有防火墙规则。

问题：需要将 Firewalld 重置为默认值

如果想将所有设置重置为默认值并删除所有自定义规则，应该使用该--complete-reload选项。请注意，使用此选项将删除所有运行时和永久配置，并将其替换为默认规则集。

sudo firewall-cmd --complete-reload

问题：需要删除特定规则

要删除特定规则，需要使用该--remove命令。例如，如果想从永久配置中的公共区域中删除 HTTP 服务，命令将是：

sudo firewall-cmd --permanent --zone=public --remove-service=http

问题：防火墙规则不起作用

当防火墙规则似乎不起作用时，通常是因为该规则不是永久性的。如果规则未设置为永久，则它将仅适用于当前会话。当系统重新启动时，该规则将丢失。要使规则永久化，请--permanent在创建规则时包含该标志。

问题：区域配置未按预期工作

使用 Firewalld 时，了解区域以及它们如何与接口和服务交互至关重要。以下是可能发生的一些情况以及如何解决这些情况。

场景：接口未分配到正确的区域

假设已为内部网络创建了一个名为“internal”的新区域。已在此区域中配置了某些规则和服务。然而，发现这些规则并未得到应用。一种可能的原因可能是预期接口未分配给“内部”区域。

要列出与区域关联的接口，可以使用以下命令：

sudo firewall-cmd --zone=internal --list-interfaces

如果输出不包含想要的接口，可以使用以下命令分配它：

sudo firewall-cmd --zone=internal --add-interface=eth1

此命令将“eth1”接口添加到“内部”区域。

场景：区域内未开通业务

假设有一个名为“dmz”的区域，并且希望允许该区域内的 HTTP 流量。然而，交通却无法通行。这可能是因为“dmz”区域中未启用 HTTP 服务。

要检查某个区域是否启用了某个服务，请使用以下命令：

sudo firewall-cmd --zone=dmz --query-service=http

如果该服务未启用，可以使用以下命令添加它：

sudo firewall-cmd --zone=dmz --add-service=http

此命令启用“dmz”区域中的 HTTP 服务。

请记住，如果希望这些更改在重新启动后仍然存在，请将该--permanent标志添加到这些命令中。始终确保的接口与正确的区域关联，并且在这些区域内启用预期的服务。

在 DEBIAN 上安装 FIREWALLD 的结论

在这份综合指南中，我们引导完成了在 Debian 上安装 Firewalld，包括版本 12、11 和 10。我们探索了 Firewalld 的基础知识、其区域和服务配置，并提供了基本和高级命令例子。此外，我们还解决了在使用 Firewalld 时可能遇到的一些常见故障排除场景。遵循本指南，应该能够充分利用 Firewalld 来有效管理和保护服务器的防火墙设置。我们鼓励不断尝试和完善知识，因为掌握 Firewalld 将提供一组强大的工具来维护安全且组织良好的网络环境。