在 Debian 系统中配置防火墙可以通过多种工具实现,其中最常用的是 firewalld 和 iptables。以下是使用这两种工具的详细步骤。
firewalld 是一个动态管理防火墙的工具,它通过引入“区域(zone)”和“服务(service)”的概念,提供灵活的网络安全管理方式。
在大多数 Linux 发行版中,firewalld 默认是预装的。如果没有安装,可以使用以下命令进行安装:
sudo apt install firewalld # Debian/Ubuntu
sudo dnf install firewalld # CentOS/RHEL/Fedora
启动 firewalld 服务并设置为开机自启:
sudo systemctl start firewalld
sudo systemctl enable firewalld
可以使用以下命令查看 firewalld 的状态:
sudo systemctl status firewalld
或者使用 firewall-cmd 命令:
sudo firewall-cmd --state
查看当前区域和规则:
sudo firewall-cmd --get-active-zones
sudo firewall-cmd --zone public --list-all
管理区域:
添加服务到区域:
sudo firewall-cmd --zone public --add-service http --permanent
移除服务:
sudo firewall-cmd --zone public --remove-service http --permanent
重新加载配置:
sudo firewall-cmd --reload
添加和移除端口:
添加端口:
sudo firewall-cmd --zone public --add-port 8080/tcp --permanent
移除端口:
sudo firewall-cmd --zone public --remove-port 8080/tcp --permanent
临时和永久规则:
使用 --permanent 选项添加的规则在重启后仍然有效。没有 --permanent 选项的规则在重启后会失效。
sudo firewall-cmd --add-port 8080/tcp --permanent
查看所有预定义服务:
sudo firewall-cmd --get-services
查看所有区域:
sudo firewall-cmd --get-zones
iptables 是一个功能强大的防火墙工具,能够提供数据包过滤、网络地址转换(NAT)等功能。
在 Debian 上,默认情况下 iptables 已经安装。如果没有安装,可以使用以下命令安装:
sudo apt-get update
sudo apt-get install iptables
编辑 iptables 规则文件:
sudo nano /etc/iptables/rules.v4
在编辑器中,可以添加、删除或修改规则。以下是一个简单的示例规则,允许所有进出的数据包通过:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
保存并关闭文件,使用以下命令应用规则:
sudo iptables-restore < /etc/iptables/rules.v4
如果需要永久保存规则,可以将规则文件复制到系统启动目录中:
sudo cp /etc/iptables/rules.v4 /etc/network/if-up.d/iptables.rules
在系统启动时会自动应用规则。
通过上述步骤,您可以在 Debian 系统上配置 firewalld 或 iptables 防火墙,以满足您的网络安全需求。