Hoe Firewalld te installeren op Debian 12, 11 of 10

Firewalld onderscheidt zich door zijn dynamische benadering van firewallbeheer. Het biedt realtime aanpassingsvermogen, een functie die het onderscheidt van traditionele tools zoals iptables en ufw. Deze realtime flexibiliteit positioneert Firewalld als een voorkeurskeuze voor gebruikers die waarde hechten aan beveiliging en gebruiksgemak.

Belangrijkste voordelen van Firewalld:

  • Zonegebaseerd beheer: Firewalld maakt gebruik van een zonegebaseerd systeem, gericht op gebruikersgericht verbindingsbeheer, wat afwijkt van de per-pakket-bewerkingen van iptables.
  • Directe updates: Met Firewalld worden wijzigingen onmiddellijk van kracht zonder dat ze opnieuw hoeven te worden opgestart, in tegenstelling tot iptables, waarbij de service vaak opnieuw moet worden geladen, waardoor actieve verbindingen mogelijk worden verstoord.
  • Gebruiksvriendelijke opdrachten: De commandostructuur van Firewalld is intuïtiever dan ufw, waardoor het ongelooflijk gebruiksvriendelijk is voor mensen die nog niet bekend zijn met firewallconfiguraties.
  • Uitgebreide documentatie: Firewalld wordt ondersteund door grondige documentatie en een actieve gebruikersgemeenschap, waardoor gebruikers voldoende ondersteuning en middelen krijgen.
  • Naadloze integratie met Debian: De combinatie van de dynamische functies van Firewalld met de vermaarde stabiliteit van Debian biedt een ongeëvenaarde ervaring voor zowel desktopgebruikers als serverbeheerders.

Met de basiskennis begeleidt deze gids u bij het naadloos integreren van Firewalld in uw Debian-systeem.

Installeer Firewalld via Terminal-opdrachten

Update Debian vóór de installatie van Firewalld

Voordat u met een nieuwe software-installatie begint, is het van cruciaal belang om de database met de Debian-systeempakketten bij te werken met het volgende commando:

sudo apt update

Deze opdracht instrueert het systeem om de nieuwste pakketgegevens uit alle geconfigureerde opslagplaatsen op te halen.

Ga verder met de installatie van Firewalld via APT Command

Met de bijgewerkte pakketinformatie van het systeem kunt u nu Firewalld installeren. De pakketbeheerder van Debian, ook bekend als APT, vereenvoudigt deze taak. Om de installatie te starten, voert u de volgende opdracht uit:

sudo apt install firewalld

Deze opdracht vertelt de pakketbeheerder om het Firewalld-softwarepakket te downloaden en te installeren.

Bevestig de firewall-installatie

Nadat u Firewalld hebt geïnstalleerd, controleert u of u het correct hebt geïnstalleerd en zo hebt ingesteld dat het correct werkt. Om de Firewalld-versie op uw systeem te bekijken, gebruikt u:

firewall-cmd --version

Met deze opdracht wordt het versienummer van Firewalld weergegeven, waarmee de installatie wordt bevestigd.

Start nu Firewalld en stel het zo in dat het wordt uitgevoerd wanneer het systeem opstart. Gebruik deze opdracht:

sudo systemctl enable --now firewalld

Firewallzones begrijpen

In firewall-zones worden netwerkverkeersregels gedicteerd op basis van de betrouwbaarheid van het verbonden netwerk, variërend van openbare, niet-vertrouwde instellingen tot particuliere thuisnetwerken.

Laten we een aantal hiervan bespreken en in detail bekijken wat ze betekenen:

De rol van zones in Firewalld:

  • Firewalld werkt volgens het concept van ‘zones’.
  • Een “zone” in Firewalld is in wezen een vooraf gedefinieerde reeks regels. Deze regels bepalen welk type netwerkverkeer wordt toegestaan ​​of geweigerd op basis van de betrouwbaarheid van het netwerk waarop de computer zich bevindt.

Voorbeelden van hoe zones werken:

  • Publieke zone: Deze zone is ontworpen voor netwerken op openbare locaties, zoals cafés of luchthavens. In deze instellingen kunt u de meeste andere apparaten niet vertrouwen, dus zijn de regels strenger om uw systeem te beschermen.
  • Thuiszone: Deze zone gaat uit van een veiliger omgeving, zoals uw huis. Hier bent u waarschijnlijk bekend met alle apparaten, dus de regels zijn minder streng, waardoor er meer communicatie tussen apparaten mogelijk is.

Lijst met enkele veelvoorkomende vooraf gedefinieerde zones in Firewalld:

  • Druppel: Laat alle inkomende pakketten vallen zonder enige reactie. Meest restrictief.
  • Blok: Vergelijkbaar met 'Drop', maar stuurt een afwijzingsantwoord naar de bron.
  • Openbaar: Voor openbare, niet-vertrouwde netwerken.
  • Extern: Wordt gebruikt wanneer uw systeem fungeert als gateway of firewall.
  • DMZ (gedemilitariseerde zone): Bied voor computers in uw DMZ beperkte toegang tot een geïsoleerde computer vanaf internet.
  • Werk: Voor werkomgevingen waar u veel gebruikers vertrouwt, maar toch beschermende maatregelen nodig heeft.
  • Thuis: Ontspannen regels voor thuisomgevingen.
  • Intern: Voor interne delen van een openbaar of particulier netwerk.
  • Vertrouwd: Alle netwerkverbindingen worden geaccepteerd. Minst beperkend.

Algemene Firewalld-opdrachten

In deze sectie gaan we dieper in op de meest gebruikte Firewalld-opdrachten. Deze opdrachten zijn cruciaal voor het beheren en configureren van uw Firewalld-installatie, zodat u uw Debian-omgeving effectief kunt beveiligen.

Firewalld-opdrachtsyntaxis en -opties

De algemene syntaxis van Firewalld-opdrachten is relatief eenvoudig. Hieronder bespreken we de syntaxis en opties, zodat u beter begrijpt wat ze zijn.

Ten eerste is de syntaxis voor firewalld-opdrachten als volgt:

firewall-cmd [options] command

Hier volgt een korte uitleg van de syntaxiscomponenten:

  • firewall-cmd: Dit is de hoofdopdracht die wordt gebruikt voor Firewalld-bewerkingen.
  • options: Deze wijzigen het gedrag van de opdracht. Ze zijn optioneel en kunnen worden weggelaten.
  • command: Dit geeft aan welke bewerking u wilt uitvoeren.

Als het om opties gaat, biedt Firewalld een variëteit. Een paar veelgebruikte zijn onder meer:

  • --zone=zone: specificeert de zone waarop moet worden gewerkt. Als er geen zone is opgegeven, wordt de standaardzone gebruikt.
  • --add-service=service: voegt de opgegeven service toe aan de zone. De wijziging is onmiddellijk van kracht, maar blijft niet van kracht na opnieuw opstarten, tenzij --permanent is toegevoegd.
  • --get-active-zones: Geeft een overzicht van alle momenteel actieve zones, samen met de bijbehorende interfaces.
  • --get-services: Geeft een overzicht van alle beschikbare services die bij Firewalld bekend zijn.
  • --reload: Laadt de Firewalld-configuratie opnieuw en implementeert eventuele wijzigingen die zijn aangebracht met --permanent zonder dat het systeem opnieuw moet worden opgestart.

Voor meer gedetailleerde informatie kunt u altijd de Firewalld-manpagina raadplegen door te rennen man firewall-cmd in uw terminal.

Lijst met alle actieve firewallzones

Inzicht in welke zones actief zijn op uw Firewalld-installatie biedt een solide basis voor het beheren van uw firewallconfiguraties. U kunt deze informatie ophalen met het volgende commando:

sudo firewall-cmd --get-active-zones

Deze opdracht vraagt ​​Firewalld om alle actieve zones weer te geven, elk vergezeld van de bijbehorende netwerkinterfaces.

Standaardzone weergeven

Voer de volgende opdracht uit om de standaardzone te bekijken die in uw Firewalld is geconfigureerd:

sudo firewall-cmd --get-default-zone

De uitvoer van deze opdracht specificeert de standaardzone, wat cruciaal is voor het begrijpen van het standaardbeveiligingsbeleid en de standaardservices die worden toegepast op inkomende netwerkverbindingen.

De standaardzone wijzigen

Gebruik de volgende opdracht om de standaardzone te wijzigen:

sudo firewall-cmd --set-default-zone=your_zone_name

Door te vervangen your_zone_name met de daadwerkelijke zonenaam wijzigt u de standaardzone van uw Firewalld-installatie.

Diensten in een zone vermelden

Vaak moet je weten welke diensten een bepaalde zone toelaat. Je kunt dit bereiken met behulp van:

sudo firewall-cmd --zone=your_zone_name --list-services

Gewoon vervangen your_zone_name met de naam van de zone waarvoor u de toegestane diensten wilt vermelden.

Een dienst aan een zone toevoegen

Gebruik de volgende opdracht om een ​​nieuwe service aan een zone toe te voegen:

sudo firewall-cmd --zone=your_zone_name --add-service=your_service_name

Met dit commando, your_service_name wordt toegevoegd your_zone_name. Zorg ervoor dat u deze tijdelijke aanduidingen vervangt door uw daadwerkelijke service- en zonenamen.

Geavanceerde Firewalld-opdrachten en scenario's

Firewalld biedt een uitgebreide reeks geavanceerde opdrachten en functies die gedetailleerde controle bieden over uw firewallinstellingen. Laten we deze commando's eens nader bekijken, zodat u de nodige kennis krijgt om met complexe scenario's om te gaan die zich kunnen voordoen bij uw netwerkbeheertaken.

Geavanceerd firewallbeheer met Firewalld

Een nieuwe dienst definiëren

Als u een aangepaste toepassing uitvoert op een specifieke poort die niet in de vooraf gedefinieerde services staat, kunt u die service zelf definiëren.

Gebruik hiervoor de volgende opdracht:

sudo firewall-cmd --permanent --new-service=myservice

Vervolgens kunt u instellingen voor uw maatwerkservice toevoegen. Om bijvoorbeeld een korte en beschrijvende naam voor de service in te stellen:

sudo firewall-cmd --permanent --service=myservice --set-short="My Custom Service"

Standaardzone aanpassen

Wanneer voor een inkomende verbinding geen specifieke zone is gedefinieerd, gebruikt het systeem de standaardzone. U kunt de standaardzone aanpassen aan uw behoeften.

sudo firewall-cmd --set-default-zone=home

Met deze opdracht wordt de standaardzone ingesteld 'thuis'. Zorg ervoor dat u deze vervangt 'thuis' met de gewenste zone op basis van uw netwerkomgeving en beveiligingsvereisten.

Een aangepaste zone maken

Als de vooraf gedefinieerde zones niet aan uw behoeften voldoen, kunt u een aangepaste zone maken:

sudo firewall-cmd --permanent --new-zone=customzone

Nadat u de zone heeft aangemaakt, kunt u deze wijzigen door services, poorten, enz. toe te voegen of te verwijderen, zodat deze aan uw specificaties voldoet.

Maskerade inschakelen

Maskerade wordt vaak gebruikt wanneer uw systeem als gateway of router voor andere systemen in uw netwerk dient. Om maskering in een specifieke zone in te schakelen, gebruikt u:

sudo firewall-cmd --zone=public --add-masquerade

Vergeet niet om 'openbaar' te vervangen door de zone waarvoor u maskering wilt inschakelen.

Poorten doorsturen

Met Firewalld kunt u ook een specifieke poort doorsturen naar een andere. Dit kan nuttig zijn in tal van scenario's, zoals bij het uitvoeren van services op niet-standaardpoorten:

sudo firewall-cmd --zone=public --add-forward-port=port=5000:proto=tcp:toport=80

Dit commando stuurt alle inkomende TCP-verbindingen door van poort 5000 naar poort 80 in de 'publieke' zone.

Deze voorbeelden vertegenwoordigen slechts een klein deel van de geavanceerde mogelijkheden van Firewalld. Er zijn nog veel meer opdrachten en opties beschikbaar, afhankelijk van uw specifieke netwerk- en beveiligingsbehoeften. Raadpleeg voor meer informatie de officiële documentatie van Firewalld of gebruik de opdracht 'man'.

Problemen met firewalls oplossen

Het beheren van firewalls kan soms complex zijn en er kunnen problemen optreden. Firewalld biedt echter een uitgebreide reeks hulpprogramma's en technieken voor probleemoplossing om dergelijke problemen op te lossen. In dit gedeelte wordt u begeleid bij het diagnosticeren en oplossen van veelvoorkomende firewallproblemen.

Firewallproblemen onderzoeken

Firewallstatus controleren

Om een ​​Firewalld-probleem te diagnosticeren, controleert u eerst de servicestatus met de volgende opdracht:

sudo systemctl status firewalld

Deze opdracht biedt informatie over de status van de Firewalld-service, of deze actief is en of er fouten zijn opgetreden tijdens het opstarten.

Firewalld-logboeken bekijken

Wanneer u problemen oplost, kunt u waardevolle informatie vinden in de Firewalld-logboeken. Standaard registreert Firewalld gebeurtenissen in het systeemlogboek, waartoe u toegang kunt krijgen via:

sudo journalctl -u firewalld

Met deze opdracht worden de Firewalld-gerelateerde logboeken uitgevoerd, zodat u fouten of ongebruikelijk gedrag kunt opsporen.

Configuratie verifiëren

Firewalld bewaart zijn configuratiebestanden in de /etc/firewalld/ map. Als u problemen ondervindt, is het een goede gewoonte om deze configuratiebestanden te controleren op fouten of discrepanties:

sudo less /etc/firewalld/firewalld.conf

Met deze opdracht kunt u het hoofdconfiguratiebestand van Firewalld bekijken.

Veelvoorkomende firewallproblemen oplossen

Probleem: Firewall reageert niet op opdrachten

Soms reageert Firewalld mogelijk niet op uw opdrachten. Een uitstekende eerste actie is het herladen van Firewalld. U kunt dit doen met het volgende commando:

sudo firewall-cmd --reload

Met deze opdracht wordt de Firewalld-configuratie opnieuw van de schijf geladen en worden alle niet-opgeslagen tijdelijke wijzigingen verwijderd. Het verwijdert echter niet alle firewallregels.

Probleem: Firewalld moet opnieuw worden ingesteld op de standaardwaarden

Als u alle instellingen naar de standaardinstellingen wilt terugzetten en alle aangepaste regels wilt verwijderen, moet u de --complete-reload keuze. Houd er rekening mee dat als u deze optie gebruikt, alle runtime- en permanente configuraties worden verwijderd en vervangen door de standaardset regels.

sudo firewall-cmd --complete-reload

Probleem: er moet een specifieke regel worden verwijderd

Om een ​​specifieke regel te verwijderen, moet u de --remove commando. Als u bijvoorbeeld de HTTP-service uit de openbare zone in de permanente configuratie wilt verwijderen, zou het commando zijn:

sudo firewall-cmd --permanent --zone=public --remove-service=http

Probleem: de firewallregel werkt niet

Als een firewallregel niet lijkt te werken, is de reden vaak dat iemand de regel niet als permanent heeft ingesteld. Een niet-permanente regel werkt alleen voor de huidige sessie. Zodra iemand het systeem opnieuw opstart, verdwijnt de regel. Om ervoor te zorgen dat de regel blijft bestaan, voegt u de --permanent vlag wanneer u de regel maakt.

Probleem: Zoneconfiguratie werkt niet zoals verwacht

Het begrijpen van zones en hoe deze omgaan met interfaces en services is cruciaal bij het werken met Firewalld. Hier volgen enkele scenario's die zich kunnen voordoen en hoe u deze kunt aanpakken.

Scenario: U hebt de interface niet aan de juiste zone toegewezen

Stel je voor dat je een nieuwe zone creëert met de naam 'intern' voor je interne netwerk en daarvoor specifieke regels en diensten instelt. Maar het systeem past deze regels niet toe. Een waarschijnlijke reden kan zijn dat u de beoogde interface niet aan de 'interne' zone heeft toegewezen.

Gebruik deze opdracht om te zien welke interfaces aan een zone zijn gekoppeld:

sudo firewall-cmd --zone=internal --list-interfaces

Als de uitvoer niet de beoogde interface bevat, kunt u deze toewijzen met behulp van de opdracht:

sudo firewall-cmd --zone=internal --add-interface=eth1

Dit commando voegt de 'eth1'-interface toe aan de 'interne' zone.

Scenario: de zone schakelt de service niet in

Stel je voor dat je een 'dmz' zone en wil HTTP-verkeer toestaan. Maar het verkeer komt niet voorbij. Dit kan gebeuren als u de HTTP-service niet hebt ingeschakeld in de 'dmz' zone.

Om te zien of voor een zone een dienst is ingeschakeld, voert u het volgende in:

sudo firewall-cmd --zone=dmz --query-service=http

Als de service niet actief is, activeer deze dan met:

sudo firewall-cmd --zone=dmz --add-service=http

Met deze opdracht wordt de HTTP-service in de 'dmz' zone.

Neem de vlag –permanent op in de opdrachten om ervoor te zorgen dat deze wijzigingen ook na het opnieuw opstarten blijven bestaan. Koppel uw interfaces altijd aan de juiste zones en activeer de benodigde services.

Conclusie

In deze uitgebreide handleiding hebben we u door de installatie van Firewalld op Debian geleid, inclusief versies 12, 11 en 10. We hebben de basisprincipes van Firewalld, de zone- en serviceconfiguraties ervan onderzocht, en u voorzien van basis- en geavanceerde commando's voorbeelden. Bovendien hebben we enkele veelvoorkomende scenario's voor probleemoplossing besproken die u kunt tegenkomen tijdens het werken met Firewalld. Als u deze handleiding volgt, bent u goed toegerust om Firewalld te gebruiken om de firewall-instellingen van uw server effectief te beheren en te beveiligen. We moedigen u aan om voortdurend te experimenteren en uw kennis te verfijnen, aangezien het beheersen van Firewalld u een robuuste set hulpmiddelen zal bieden om een ​​veilige en goed georganiseerde netwerkomgeving te onderhouden.

handige links

Hier zijn enkele waardevolle links met betrekking tot het gebruik van Firewalld:

  • Officiële Firewalld-website: Bezoek de officiële Firewalld-website voor informatie over de dynamische firewallmanager, de functies en downloadopties.
  • Firewalld-documentatie: toegang tot uitgebreide documentatie voor gedetailleerde handleidingen over het installeren, configureren en gebruiken van Firewalld.
  • Firewalld-gemeenschap: sluit u aan bij de Firewalld-gemeenschap om in contact te komen met andere gebruikers, deel te nemen aan discussies en ondersteuning te krijgen.
  • Firewalld GitHub-opslagplaats: Verken de Firewalld GitHub-repository om de broncode te bekijken, problemen te melden en bij te dragen aan de ontwikkeling.
Joshua James
Volg mij
Laatste berichten van Joshua James (alles zien)