Debian hat per default kein Tool wie pfctl mitdabei. Dafür kann man sich aber mit iptstate behelfen

apt-get update
apt-get install iptstate -y

Auch bei Debian gilt, dass nur root den Status der Firewall abfragen darf. Dafür habe ich bei mir sudo verwendet, denn mit dem SUID Bit (wie beim pfsense) kann man das Kommando resp die Parameter nicht weiter einschränken. Wem das egal ist der kann einfach die Gruppe auf zabbix ändern und SUID setzen

chgrp zabbix /usr/sbin/iptstate
chmod o-rwx /usr/sbin/iptstate
chmod +s /usr/sbin/iptstate

Die „sicherheitsbewussteren“ User machen es mit sudo besser so

#visudo
zabbix ALL=NOPASSWD: /usr/sbin/iptstate -t -1

und dann die UserParameter für den Zabbix-Agent

UserParameter=active.sessions,sudo /usr/sbin/iptstate -t -1|wc -l
UserParameter=active.sessions.port[*],sudo /usr/sbin/iptstate -t -1|grep -c ':$1 '
UserParameter=active.sessions.prot[*],sudo /usr/sbin/iptstate -t -1|grep -c ' $1 '

und die Items könnten so ausschauen

active.sessions
active.sessions.port[53]
active.sessions.prot[TCP]
active.sessions.prot[UDP]
active.sessions.prot[ICMP]