Jak zainstalować zaporę sieciową na Debianie 12, 11 lub 10

Firewalld wyróżnia się dynamicznym podejściem do zarządzania firewallami. Oferuje możliwość dostosowania w czasie rzeczywistym, co odróżnia go od tradycyjnych narzędzi, takich jak iptables i ufw. Ta elastyczność w czasie rzeczywistym sprawia, że ​​Firewalld jest preferowanym wyborem dla użytkowników ceniących bezpieczeństwo i łatwość obsługi.

Kluczowe zalety zapory ogniowej:

  • Zarządzanie oparte na strefach: Firewalld wykorzystuje system strefowy, koncentrując się na zarządzaniu połączeniami zorientowanymi na użytkownika, co stanowi odejście od operacji na pakiety iptables.
  • Natychmiastowe aktualizacje: W przypadku Firewalld zmiany zaczynają obowiązywać natychmiast, bez konieczności ponownego uruchamiania, w przeciwieństwie do iptables, które często wymagają przeładowania usług, potencjalnie zakłócając aktywne połączenia.
  • Polecenia przyjazne dla użytkownika: Struktura poleceń Firewallda jest bardziej intuicyjna niż ufw, co czyni ją niezwykle przyjazną dla użytkownika, który nie ma doświadczenia z konfiguracjami firewalla.
  • Kompleksowa dokumentacja: Firewalld jest wspierany przez szczegółową dokumentację i aktywną społeczność użytkowników, zapewniając użytkownikom wystarczające wsparcie i zasoby.
  • Bezproblemowa integracja z Debianem: Połączenie dynamicznych funkcji Firewallda ze słynną stabilnością Debiana zapewnia niezrównane wrażenia zarówno użytkownikom komputerów stacjonarnych, jak i administratorom serwerów.

Dzięki podstawowej wiedzy ten przewodnik przeprowadzi Cię przez bezproblemową integrację Firewallda z systemem Debian.

Zainstaluj zaporę ogniową za pomocą poleceń terminala

Zaktualizuj Debiana przed instalacją zapory ogniowej

Przed rozpoczęciem instalacji nowego oprogramowania kluczowa jest aktualizacja bazy danych pakietów systemowych Debiana za pomocą następującego polecenia:

sudo apt update

To polecenie instruuje system, aby pobrał najnowsze dane pakietu ze wszystkich skonfigurowanych repozytoriów.

Kontynuuj instalację zapory ogniowej za pomocą polecenia APT

Dzięki zaktualizowanym informacjom o pakiecie systemu możesz teraz zainstalować Firewalld. Menedżer pakietów Debiana, znany również jako APT, upraszcza to zadanie. Aby rozpocząć instalację, uruchom następujące polecenie:

sudo apt install firewalld

To polecenie nakazuje menedżerowi pakietów pobranie i zainstalowanie pakietu oprogramowania Firewalld.

Potwierdź instalację zapory ogniowej

Po zainstalowaniu Firewalld sprawdź, czy zainstalowałeś go poprawnie i skonfiguruj, aby działał poprawnie. Aby wyświetlić wersję zapory sieciowej w swoim systemie, użyj:

firewall-cmd --version

To polecenie wyświetla numer wersji zapory, potwierdzając jej instalację.

Teraz uruchom Firewalld i ustaw go tak, aby uruchamiał się po uruchomieniu systemu. Użyj tego polecenia:

sudo systemctl enable --now firewalld

Zrozumienie stref zapory ogniowej

W „strefach” chronionych zaporą sieciową reguły ruchu sieciowego są ustalane na podstawie wiarygodności podłączonej sieci, począwszy od niezaufanych ustawień publicznych po prywatne sieci domowe.

Przyjrzyjmy się niektórym z nich i szczegółowo omówimy ich znaczenie:

Rola stref w zaporze Firewalld:

  • Firewalld działa w oparciu o koncepcję „stref”.
  • „Strefa” w zaporze Firewalld to zasadniczo predefiniowany zestaw reguł. Reguły te określają rodzaj ruchu sieciowego, który jest dozwolony lub zabroniony, w zależności od wiarygodności sieci, w której znajduje się komputer.

Przykłady działania stref:

  • Strefa publiczna: Strefa ta przeznaczona jest dla sieci w miejscach publicznych, takich jak kawiarnie czy lotniska. W przypadku tych ustawień nie można ufać większości innych urządzeń, dlatego reguły są bardziej restrykcyjne, aby chronić system.
  • Strefa główna: Ta strefa zakłada bezpieczniejsze środowisko, takie jak Twój dom. Tutaj prawdopodobnie znasz wszystkie urządzenia, więc zasady są mniej rygorystyczne, co pozwala na lepszą komunikację między urządzeniami.

Lista niektórych typowych, predefiniowanych stref w zaporze Firewalld:

  • Upuszczać: Upuszcza wszystkie przychodzące pakiety bez żadnej odpowiedzi. Najbardziej restrykcyjne.
  • Blok: Podobnie jak w przypadku „Upuść”, ale odpowiedź o odrzuceniu zostanie wysłana do źródła.
  • Publiczny: Dla publicznych, niezaufanych sieci.
  • Zewnętrzny: Używane, gdy system działa jako brama lub zapora ogniowa.
  • DMZ (strefa zdemilitaryzowana): W przypadku komputerów w Twojej strefie DMZ zaoferuj ograniczony dostęp do izolowanego komputera z Internetu.
  • Praca: Do środowisk pracy, w których ufasz wielu użytkownikom, ale nadal potrzebujesz środków ochronnych.
  • Dom: Łagodne zasady dotyczące środowisk domowych.
  • Wewnętrzny: Do wewnętrznych sekcji sieci publicznej lub prywatnej.
  • Zaufany: Wszystkie połączenia sieciowe są akceptowane. Najmniej restrykcyjne.

Typowe polecenia zapory ogniowej

W tej sekcji zagłębiamy się w najczęściej używane polecenia zapory ogniowej. Polecenia te mają kluczowe znaczenie w zarządzaniu i konfigurowaniu konfiguracji zapory ogniowej, umożliwiając skuteczne zabezpieczenie środowiska Debiana.

Składnia i opcje poleceń zapory ogniowej

Ogólna składnia poleceń zapory jest stosunkowo prosta. Poniżej omówimy składnię i opcje, abyś lepiej wiedział, czym one są.

Po pierwsze, składnia poleceń firewalld jest następująca:

firewall-cmd [options] command

Oto krótkie wyjaśnienie składników składni:

  • firewall-cmd: Jest to główne polecenie używane do operacji zapory sieciowej.
  • options: Modyfikują zachowanie polecenia. Są opcjonalne i można je pominąć.
  • command: Określa, jaką operację chcesz wykonać.

Jeśli chodzi o opcje, Firewalld oferuje różnorodność. Kilka powszechnie używanych to:

  • --zone=zone: Określa strefę, na której wykonywane jest działanie. Jeśli nie określono żadnej strefy, używana jest strefa domyślna.
  • --add-service=service: Dodaje określoną usługę do strefy. Zmiana obowiązuje natychmiast, ale nie jest trwała po ponownym uruchomieniu komputera, chyba że --permanent jest dodany.
  • --get-active-zones: Wyświetla listę wszystkich aktualnie aktywnych stref wraz z powiązanymi z nimi interfejsami.
  • --get-services: Wyświetla listę wszystkich dostępnych usług znanych Firewalld.
  • --reload: Ponownie ładuje konfigurację zapory, wdrażając wszelkie zmiany wprowadzone za pomocą --permanent bez konieczności ponownego uruchamiania systemu.

Aby uzyskać bardziej szczegółowe informacje, zawsze możesz zapoznać się ze stroną podręcznika Firewalld, uruchamiając ją man firewall-cmd w swoim terminalu.

Lista wszystkich aktywnych stref zapory

Zrozumienie, które strefy są aktywne w instalacji zapory, stanowi solidną podstawę do zarządzania konfiguracjami zapory. Możesz pobrać te informacje za pomocą następującego polecenia:

sudo firewall-cmd --get-active-zones

To polecenie powoduje, że Zapora sieciowa wyświetli listę wszystkich aktywnych stref, z których każda posiada powiązane interfejsy sieciowe.

Wyświetlanie strefy domyślnej

Aby wyświetlić domyślną strefę skonfigurowaną w zaporze, wykonaj następujące polecenie:

sudo firewall-cmd --get-default-zone

Dane wyjściowe tego polecenia określają strefę domyślną, która ma kluczowe znaczenie dla zrozumienia domyślnych zasad bezpieczeństwa i usług stosowanych do przychodzących połączeń sieciowych.

Zmiana strefy domyślnej

Aby zmienić domyślną strefę, użyj następującego polecenia:

sudo firewall-cmd --set-default-zone=your_zone_name

Poprzez wymianę your_zone_name z rzeczywistą nazwą strefy, zmieniasz domyślną strefę instalacji zapory.

Lista usług w strefie

Często trzeba wiedzieć, na jakie usługi pozwala dana strefa. Można to osiągnąć za pomocą:

sudo firewall-cmd --zone=your_zone_name --list-services

Po prostu wymień your_zone_name z nazwą strefy, dla której chcesz wyświetlić listę dozwolonych usług.

Dodanie usługi do strefy

Aby dodać nową usługę do strefy użyj komendy:

sudo firewall-cmd --zone=your_zone_name --add-service=your_service_name

Za pomocą tego polecenia your_service_name jest dodawany do your_zone_name. Pamiętaj, aby zastąpić te symbole zastępcze rzeczywistymi nazwami usług i stref.

Zaawansowane polecenia i scenariusze zapory ogniowej

Firewalld oferuje kompleksowy zestaw zaawansowanych poleceń i funkcji zapewniających szczegółową kontrolę nad ustawieniami zapory. Zagłębmy się w te polecenia, wyposażając Cię w wiedzę niezbędną do obsługi złożonych scenariuszy, które mogą pojawić się podczas zadań związanych z zarządzaniem siecią.

Zaawansowane zarządzanie zaporą sieciową za pomocą Firewalld

Definicja nowej usługi

Jeśli uruchamiasz niestandardową aplikację na konkretnym porcie, który nie jest wymieniony w predefiniowanych usługach, możesz samodzielnie zdefiniować tę usługę.

Aby to zrobić, użyj następującego polecenia:

sudo firewall-cmd --permanent --new-service=myservice

Następnie możesz dodać ustawienia swojej usługi niestandardowej. Na przykład, aby ustawić krótką i opisową nazwę usługi:

sudo firewall-cmd --permanent --service=myservice --set-short="My Custom Service"

Dostosowywanie strefy domyślnej

Jeżeli dla połączenia przychodzącego nie zdefiniowano określonej strefy, system korzysta ze strefy domyślnej. Możesz modyfikować domyślną strefę tak, aby odpowiadała Twoim potrzebom.

sudo firewall-cmd --set-default-zone=home

To polecenie ustawia domyślną strefę na 'dom'. Pamiętaj o wymianie 'dom' z żądaną strefą w oparciu o środowisko sieciowe i wymagania bezpieczeństwa.

Tworzenie strefy niestandardowej

Jeśli predefiniowane strefy nie odpowiadają Twoim potrzebom, możesz utworzyć strefę niestandardową:

sudo firewall-cmd --permanent --new-zone=customzone

Po utworzeniu strefy możesz ją modyfikować, dodając lub usuwając usługi, porty itp., aby dopasować je do swoich specyfikacji.

Włączanie maskarady

Maskaradę powszechnie stosuje się, gdy system służy jako brama lub router dla innych systemów w sieci. Aby włączyć maskaradę w określonej strefie, użyj:

sudo firewall-cmd --zone=public --add-masquerade

Pamiętaj, zamień „publiczny” na strefę, w której chcesz włączyć maskaradę.

Porty przekierowania

Firewalld umożliwia także przekierowanie określonego portu do innego. Może to być korzystne w wielu scenariuszach, na przykład podczas uruchamiania usług na niestandardowych portach:

sudo firewall-cmd --zone=public --add-forward-port=port=5000:proto=tcp:toport=80

To polecenie przekazuje wszystkie przychodzące połączenia TCP z portu 5000 na port 80 w strefie „publicznej”.

Przykłady te reprezentują jedynie niewielki podzbiór zaawansowanych możliwości zapory ogniowej. Dostępnych jest znacznie więcej poleceń i opcji, w zależności od konkretnych potrzeb sieciowych i bezpieczeństwa. Aby uzyskać więcej informacji, zapoznaj się z oficjalną dokumentacją zapory ogniowej lub użyj polecenia „man”.

Rozwiązywanie problemów z zaporą sieciową

Zarządzanie zaporami sieciowymi może czasami być skomplikowane i mogą wystąpić problemy. Jednakże Firewalld zapewnia kompleksowy zestaw narzędzi i technik rozwiązywania problemów, które pomagają w rozwiązywaniu takich problemów. W tej sekcji znajdziesz wskazówki dotyczące diagnozowania i rozwiązywania typowych problemów z zaporą sieciową.

Badanie problemów z zaporą sieciową

Sprawdzanie stanu zapory sieciowej

Aby zdiagnozować problem z zaporą sieciową, najpierw sprawdź stan usługi za pomocą następującego polecenia:

sudo systemctl status firewalld

To polecenie dostarcza informacji o stanie usługi Zapora sieciowa, czy jest aktywna i czy podczas uruchamiania napotkała jakieś błędy.

Przeglądanie dzienników zapory sieciowej

Podczas rozwiązywania problemów można znaleźć bezcenne informacje w dziennikach zapory sieciowej. Domyślnie Firewalld rejestruje zdarzenia w dzienniku systemowym, do którego można uzyskać dostęp za pomocą:

sudo journalctl -u firewalld

To polecenie wyświetli dzienniki związane z zaporą sieciową, pomagając w zlokalizowaniu błędów lub nietypowych zachowań.

Weryfikacja konfiguracji

Firewalld przechowuje swoje pliki konfiguracyjne w formacie /etc/firewalld/ informator. Jeśli napotkasz problemy, dobrą praktyką jest sprawdzenie tych plików konfiguracyjnych pod kątem błędów lub rozbieżności:

sudo less /etc/firewalld/firewalld.conf

To polecenie umożliwia wyświetlenie głównego pliku konfiguracyjnego zapory.

Rozwiązywanie typowych problemów z zaporą sieciową

Problem: Zapora sieciowa nie odpowiada na polecenia

Czasami zapora sieciowa może nie reagować na Twoje polecenia. Doskonałą początkową czynnością jest ponowne załadowanie zapory ogniowej. Można to zrobić za pomocą następującego polecenia:

sudo firewall-cmd --reload

To polecenie ponownie ładuje konfigurację zapory z dysku i odrzuca wszystkie niezapisane zmiany tymczasowe. Nie usuwa to jednak wszystkich reguł zapory sieciowej.

Problem: Należy zresetować zaporę sieciową do ustawień domyślnych

Jeśli chcesz zresetować wszystkie ustawienia do wartości domyślnych i usunąć wszystkie niestandardowe reguły, powinieneś użyć --complete-reload opcja. Należy pamiętać, że użycie tej opcji spowoduje usunięcie wszystkich konfiguracji wykonawczych i stałych i zastąpienie ich domyślnym zestawem reguł.

sudo firewall-cmd --complete-reload

Problem: należy usunąć określoną regułę

Aby usunąć konkretną regułę, musisz użyć --remove Komenda. Na przykład, jeśli chcesz usunąć usługę HTTP ze strefy publicznej w konfiguracji stałej, polecenie będzie wyglądać:

sudo firewall-cmd --permanent --zone=public --remove-service=http

Problem: Reguła zapory sieciowej nie działa

Jeśli reguła zapory nie działa, często przyczyną jest to, że ktoś nie ustawił reguły jako trwałej. Reguła nietrwała działa tylko w przypadku bieżącej sesji. Gdy ktoś ponownie uruchomi system, reguła zniknie. Aby mieć pewność, że reguła pozostanie, dołącz --permanent flagę podczas tworzenia reguły.

Problem: Konfiguracja strefy nie działa zgodnie z oczekiwaniami

Zrozumienie stref i ich interakcji z interfejsami i usługami ma kluczowe znaczenie podczas pracy z Firewalld. Oto kilka scenariuszy, które mogą wystąpić i jak sobie z nimi poradzić.

Scenariusz: nie przypisano interfejsu do właściwej strefy

Wyobraź sobie, że tworzysz nową strefę o nazwie „wewnętrzna” dla swojej sieci wewnętrznej i konfigurujesz dla niej określone reguły i usługi. Ale system nie stosuje tych zasad. Prawdopodobną przyczyną może być to, że nie przypisałeś zamierzonego interfejsu do strefy „wewnętrznej”.

Aby zobaczyć, które interfejsy są powiązane ze strefą, użyj tego polecenia:

sudo firewall-cmd --zone=internal --list-interfaces

Jeśli dane wyjściowe nie zawierają zamierzonego interfejsu, możesz go przypisać za pomocą polecenia:

sudo firewall-cmd --zone=internal --add-interface=eth1

To polecenie dodaje interfejs „eth1” do strefy „wewnętrznej”.

Scenariusz: Strefa nie włącza usługi

Wyobraź sobie, że masz „dmz” strefy i chcesz zezwolić na ruch HTTP. Ale ruch nie przechodzi. Może się to zdarzyć, jeśli nie włączyłeś usługi HTTP w pliku „dmz” strefa.

Aby sprawdzić, czy w strefie jest włączona usługa, wpisz:

sudo firewall-cmd --zone=dmz --query-service=http

Jeśli usługa nie jest aktywna, aktywuj ją za pomocą:

sudo firewall-cmd --zone=dmz --add-service=http

To polecenie włącza usługę HTTP w pliku „dmz” strefa.

Dołącz flagę –permanent do poleceń, aby te modyfikacje trwały po ponownym uruchomieniu. Zawsze łącz swoje interfejsy z odpowiednimi strefami i aktywuj niezbędne usługi.

Wniosek

W tym obszernym przewodniku przeprowadziliśmy Cię przez instalację Firewalld w Debianie, w tym wersje 12, 11 i 10. Zbadaliśmy podstawy Firewallda, jego konfiguracje stref i usług oraz udostępniliśmy podstawowe i zaawansowane polecenia przykłady. Ponadto omówiliśmy kilka typowych scenariuszy rozwiązywania problemów, które możesz napotkać podczas pracy z zaporą ogniową. Postępując zgodnie z tym przewodnikiem, powinieneś być dobrze przygotowany do wykorzystania Firewalld do skutecznego zarządzania i zabezpieczania ustawień zapory serwera. Zachęcamy Cię do ciągłego eksperymentowania i udoskonalania swojej wiedzy, ponieważ opanowanie Firewallda zapewni Ci solidny zestaw narzędzi do utrzymywania bezpiecznego i dobrze zorganizowanego środowiska sieciowego.

Przydatne linki

Oto kilka cennych linków związanych z używaniem Firewallda:

  • Oficjalna witryna Firewallda: Odwiedź oficjalną witrynę Firewalld, aby uzyskać informacje na temat dynamicznego menedżera zapory, jego funkcji i opcji pobierania.
  • Dokumentacja zapory ogniowej: Uzyskaj dostęp do obszernej dokumentacji, w której znajdują się szczegółowe instrukcje dotyczące instalowania, konfigurowania i używania zapory ogniowej.
  • Społeczność zapory ogniowej: Dołącz do społeczności Firewalld, aby łączyć się z innymi użytkownikami, brać udział w dyskusjach i uzyskiwać wsparcie.
  • Repozytorium Firewalld na GitHubie: Przeglądaj repozytorium Firewalld GitHub, aby wyświetlić kod źródłowy, zgłosić problemy i przyczynić się do rozwoju.
Joshua James
Chodź za mną
Najnowsze posty autorstwa Joshua James (widzieć wszystko)