Dies ist der Befehl firewall-offline-cmd, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
firewall-offline-cmd – Firewalld-Offline-Befehlszeilen-Client
ZUSAMMENFASSUNG
firewall-offline-cmd [OPTIONEN...]
BESCHREIBUNG
firewall-offline-cmd ist ein Offline-Befehlszeilen-Client des Firewalld-Daemons. Es sollte
kann nur verwendet werden, wenn der Firewalld-Dienst nicht ausgeführt wird. Zum Beispiel zur Migration von
system-config-firewall/lokkit oder in der Installationsumgebung, um Firewall-Einstellungen zu konfigurieren
mit Kickstarter.
Einige Lokkit-Optionen können nicht automatisch für Firewalld konvertiert werden, sie führen dazu
eine Fehler- oder Warnmeldung. Dieses Tool versucht, so viel wie möglich zu konvertieren, aber es gibt sie
Einschränkungen, zum Beispiel bei benutzerdefinierten Regeln, Modulen und Masquerading.
Überprüfen Sie die Firewall-Konfiguration, nachdem Sie dieses Tool verwendet haben.
OPTIONAL
Wenn keine Optionen angegeben sind, erfolgt die Konfiguration von /etc/sysconfig/system-config-firewall wird sein
migriert.
Die folgenden Optionen werden unterstützt:
Hilfe Optionen
-h, --help
Gibt einen kurzen Hilfetext aus und existiert.
Status Optionen
--aktiviert
Aktivieren Sie die Firewall. Diese Option ist eine Standardoption und aktiviert die Firewall, wenn
solange die Option noch nicht aktiviert ist --Behinderte ist nicht gegeben.
--Behinderte
Deaktivieren Sie die Firewall, indem Sie den Firewalld-Dienst deaktivieren.
Lokkit Kompatibilität Optionen
Diese Optionen sind nahezu identisch mit den Optionen von Lokkit.
--addmodule=Modulen
Diese Option führt zu einer Warnmeldung und wird ignoriert.
Die Handhabung der Netfilter-Helfer wurde vollständig in die Dienste integriert. Hinzufügen oder
Das Entfernen von Netfilter-Helfern außerhalb von Diensten ist daher nicht mehr erforderlich. Für
Weitere Informationen zum Umgang mit Netfilter-Helfern in Diensten finden Sie unter
firewalld.zone(5).
--removemodule
Diese Option führt zu einer Warnmeldung und wird ignoriert.
Die Handhabung der Netfilter-Helfer wurde vollständig in die Dienste integriert. Hinzufügen oder
Das Entfernen von Netfilter-Helfern außerhalb von Diensten ist daher nicht mehr erforderlich. Für
Weitere Informationen zum Umgang mit Netfilter-Helfern in Diensten finden Sie unter
firewalld.zone(5).
--remove-service=
Entfernen Sie einen Dienst aus der Standardzone. Diese Option kann mehrfach angegeben werden.
Der Dienst ist einer der von der Firewall bereitgestellten Dienste. Um eine Liste der unterstützten zu erhalten
Dienstleistungen, Nutzung Firewall-cmd --get-services.
-s , --Service=
Fügen Sie der Standardzone einen Dienst hinzu. Diese Option kann mehrfach angegeben werden.
Der Dienst ist einer der von der Firewall bereitgestellten Dienste. Um eine Liste der unterstützten zu erhalten
Dienstleistungen, Nutzung Firewall-cmd --get-services.
-p portid[-portid]:Protokoll, --Hafen=portid[-portid]:Protokoll
Fügen Sie den Port zur Standardzone hinzu. Diese Option kann mehrfach angegeben werden.
Der Port kann entweder eine einzelne Portnummer oder ein Portbereich sein portid-portiddem „Vermischten Geschmack“. Seine
Protokoll kann entweder sein TCP or UDP.
-t Schnittstelle, --Vertrauen=Schnittstelle
Diese Option führt zu einer Warnmeldung.
Markieren Sie eine Schnittstelle als vertrauenswürdig. Diese Option kann mehrfach angegeben werden. Der
Die Schnittstelle wird an die vertrauenswürdige Zone gebunden.
Wenn die Schnittstelle in einer von NetworkManager verwalteten Verbindung verwendet wird oder eine vorhanden ist
ifcfg-Datei für diese Schnittstelle wird die Zone in die in der definierte Zone geändert
Konfiguration, sobald sie aktiviert wird. Um die Zone einer Verbindung zu ändern, verwenden Sie
nm-Verbindungseditor und stellen Sie die Zone auf vertrauenswürdig ein. Verwenden Sie für eine ifcfg-Datei einen Editor und
füge „ZONE=vertrauenswürdig“ hinzu. Wenn die Zone nicht in der ifcfg-Datei definiert ist, wird die Firewalld
Es wird die Standardzone verwendet.
-m Schnittstelle, --masq=Schnittstelle
Diese Option führt zu einer Warnmeldung.
Die Maskierung wird in der Standardzone aktiviert. Das Schnittstellenargument wird sein
ignoriert. Das ist für IPv4 nur.
--custom-rules=[tippe:][Tabelle:]Dateinamen
Diese Option führt zu einer Warnmeldung und wird ignoriert.
Benutzerdefinierte Regeldateien werden von firewalld nicht unterstützt.
--forward-port=wenn=Schnittstelle:port=port :proto=Protokoll[:toport=Reiseziel
port :][:toaddr=Reiseziel Adresse]
Diese Option führt zu einer Warnmeldung.
Fügen Sie IPv4 Weiterleitungsport in der Standardzone. Diese Option kann mehrfach angegeben werden
Zeiten.
Der Port kann entweder eine einzelne Portnummer sein portid oder ein Portbereich portid-portiddem „Vermischten Geschmack“. Seine
Protokoll kann entweder sein TCP or UDP. Die Zieladresse ist eine IP-Adresse.
--block-icmp=icmptype
Diese Option führt zu einer Warnmeldung.
Fügen Sie einen ICMP-Block für hinzu icmptype in der Standardzone. Diese Option kann angegeben werden
mehrmals.
Das icmptype ist einer der von Firewalld unterstützten ICMP-Typen. Um eine Auflistung zu erhalten
Unterstützte ICMP-Typen: Firewall-cmd --get-icmptypes
Zone Optionen
--get-default-zone
Standardzone für Verbindungen und Schnittstellen drucken.
--set-default-zone=Zone
Legen Sie die Standardzone für Verbindungen und Schnittstellen fest, bei denen keine Zone ausgewählt wurde.
Durch das Festlegen der Standardzone wird die Zone für die Verbindungen bzw. Schnittstellen geändert
Verwenden der Standardzone.
--get-zones
Drucken Sie vordefinierte Zonen als durch Leerzeichen getrennte Liste.
--get-services
Drucken Sie vordefinierte Dienste als durch Leerzeichen getrennte Liste.
--get-icmptypes
Drucken Sie vordefinierte ICMP-Typen als durch Leerzeichen getrennte Liste.
--get-zone-of-interface=Schnittstelle
Drucken Sie den Namen der Zone aus Schnittstelle ist an oder gebunden nicht Zone.
--get-zone-of-source=Quelle[/Maske"]
Drucken Sie den Namen der Zone aus Quelle[/Maske"] ist an or gebunden nicht Zone.
--info-zone=Zone
Drucken Sie Informationen über die Zone Zone. Das Ausgabeformat ist:
Zone
Schnittstellen: Schnittstelle1 ..
Quellen: source1 ..
Leistungen: service1 ..
Häfen: port1 ..
Protokolle: Protokoll1 ..
Vorwärts-Ports:
Forward-Port1
..
icmp-Blöcke: ICMP-Typ1 ..
reiche Regeln:
Rich-Rule1
..
--list-all-zones
Listen Sie alles auf, was für alle Zonen hinzugefügt oder aktiviert wurde. Das Ausgabeformat ist:
zone1
Schnittstellen: Schnittstelle1 ..
Quellen: source1 ..
Leistungen: service1 ..
Häfen: port1 ..
Protokolle: Protokoll1 ..
Vorwärts-Ports:
Forward-Port1
..
icmp-Blöcke: ICMP-Typ1 ..
reiche Regeln:
Rich-Rule1
..
..
--new-zone=Zone
Fügen Sie eine neue permanente Zone hinzu.
--delete-zone=Zone
Löschen Sie eine vorhandene permanente Zone.
--Zone=Zone --get-target
Holen Sie sich das Ziel einer permanenten Zone.
--Zone=Zone --anvisieren=Zone
Legen Sie das Ziel einer permanenten Zone fest.
Optionen zu Anpassen und Abfrage Zonen
Die Optionen in diesem Abschnitt wirken sich nur auf eine bestimmte Zone aus. Bei Verwendung mit --Zone=Zone Option,
Sie wirken sich auf die Zone aus Zone. Wenn die Option weggelassen wird, wirken sie sich auf die Standardzone aus (siehe
--get-default-zone).
[--Zone=Zone] --listen Sie alle auf
Listen Sie alles auf, was hinzugefügt oder aktiviert wurde Zone. Wenn die Zone weggelassen wird, wird die Standardzone verwendet
benutzt.
[--Zone=Zone] --list-services
Liste der hinzugefügten Dienste Zone als durch Leerzeichen getrennte Liste. Wenn die Zone weggelassen wird, gilt die Standardeinstellung
Zone verwendet wird.
[--Zone=Zone] --add-service=
Fügen Sie einen Dienst hinzu für Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet. Diese Option kann
mehrfach angegeben werden.
Der Dienst ist einer der von der Firewall bereitgestellten Dienste. Um eine Liste der unterstützten zu erhalten
Dienstleistungen, Nutzung Firewall-cmd --get-services.
[--Zone=Zone] --remove-service-from-zone=
Entfernen Sie einen Dienst aus Zone. Diese Option kann mehrfach angegeben werden. Wenn Zone ist
Wird dieser Wert weggelassen, wird die Standardzone verwendet.
[--Zone=Zone] --query-service=
Rückgabe ob wurde hinzugefügt für Zone. Wenn die Zone weggelassen wird, wird die Standardzone verwendet
verwendet werden. Gibt 0 zurück, wenn wahr, andernfalls 1.
[--Zone=Zone] --list-ports
Liste der hinzugefügten Ports für Zone als durch Leerzeichen getrennte Liste. Ein Port hat die Form
portid[-portid]/Protokoll, es kann entweder ein Port- und Protokollpaar oder ein Portbereich sein
mit einem Protokoll. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
[--Zone=Zone] --add-port=portid[-portid]/Protokoll
Fügen Sie den Port für hinzu Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet. Diese Option kann
mehrfach angegeben werden.
Der Port kann entweder eine einzelne Portnummer oder ein Portbereich sein portid-portiddem „Vermischten Geschmack“. Seine
Protokoll kann entweder sein TCP or UDP.
[--Zone=Zone] --remove-port=portid[-portid]/Protokoll
Entfernen Sie den Anschluss Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet. Diese Option
kann mehrfach angegeben werden.
[--Zone=Zone] --query-port=portid[-portid]/Protokoll
Gibt zurück, ob der Port hinzugefügt wurde Zone. Wenn die Zone weggelassen wird, wird die Standardzone verwendet
verwendet werden. Gibt 0 zurück, wenn wahr, andernfalls 1.
[--Zone=Zone] --list-protokolle
Listen Sie die hinzugefügten Protokolle auf Zone als durch Leerzeichen getrennte Liste. Wenn die Zone weggelassen wird, gilt die Standardeinstellung
Zone verwendet wird.
[--Zone=Zone] --add-protocol=Protokoll
Fügen Sie das Protokoll hinzu für Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet. Diese Option
kann mehrfach angegeben werden. Wenn ein Timeout angegeben wird, ist die Regel aktiv
Die angegebene Zeitspanne wird gespeichert und anschließend automatisch entfernt. Zeitwert is
entweder eine Zahl (in Sekunden) oder eine Zahl gefolgt von einem Zeichen s (Sekunden), m
(Protokoll), h (Stunden), zum Beispiel 20m or 1h.
Das Protokoll kann jedes vom System unterstützte Protokoll sein. Bitte schauen Sie sich an
/etc/protocols für unterstützte Protokolle.
[--Zone=Zone] --remove-protcol=Protokoll
Entfernen Sie das Protokoll aus Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet. Das
Option kann mehrfach angegeben werden.
[--Zone=Zone] --query-protocol=Protokoll
Gibt zurück, ob das Protokoll hinzugefügt wurde Zone. Wenn die Zone weggelassen wird, wird die Standardzone verwendet
verwendet wird. Gibt 0 zurück, wenn wahr, andernfalls 1.
[--Zone=Zone] --list-icmp-blocks
Listet die hinzugefügten ICMP-Blöcke (Internet Control Message Protocol) auf Zone als Raum
getrennte Liste. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
[--Zone=Zone] --add-icmp-block=icmptype
Fügen Sie einen ICMP-Block für hinzu icmptype für Zone. Wenn die Zone weggelassen wird, wird die Standardzone verwendet
gebraucht. Diese Option kann mehrfach angegeben werden.
Das icmptype ist einer der von Firewalld unterstützten ICMP-Typen. Um eine Auflistung zu erhalten
Unterstützte ICMP-Typen: Firewall-cmd --get-icmptypes
[--Zone=Zone] --remove-icmp-block=icmptype
Entfernen Sie den ICMP-Block für icmptype für Zone. Wenn die Zone weggelassen wird, wird die Standardzone verwendet
gebraucht. Diese Option kann mehrfach angegeben werden.
[--Zone=Zone] --query-icmp-block=icmptype
Gibt zurück, ob ein ICMP-Block für icmptype wurde hinzugefügt für Zone. Wenn die Zone weggelassen wird,
Es wird die Standardzone verwendet. Gibt 0 zurück, wenn wahr, andernfalls 1.
[--Zone=Zone] --list-forward-ports
Liste IPv4 Forward-Ports hinzugefügt für Zone als durch Leerzeichen getrennte Liste. Wenn die Zone weggelassen wird,
Es wird die Standardzone verwendet.
Aussichten für IPv6 Um Ports weiterzuleiten, verwenden Sie bitte die Rich-Sprache.
[--Zone=Zone]
--add-forward-port=Port=portid[-portid]:proto=Protokoll[:toport=portid[-portid]][:toaddr=Adresse[/Maske"]]
Fügen Sie IPv4 Forward-Port für Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
Diese Option kann mehrfach angegeben werden.
Der Port kann entweder eine einzelne Portnummer sein portid oder ein Portbereich portid-portiddem „Vermischten Geschmack“. Seine
Protokoll kann entweder sein TCP or UDP. Die Zieladresse ist eine einfache IP-Adresse.
Aussichten für IPv6 Um Ports weiterzuleiten, verwenden Sie bitte die Rich-Sprache.
[--Zone=Zone]
--remove-forward-port=Port=portid[-portid]:proto=Protokoll[:toport=portid[-portid]][:toaddr=Adresse[/Maske"]]
Entferne das IPv4 Forward-Port von Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
Diese Option kann mehrfach angegeben werden.
Aussichten für IPv6 Um Ports weiterzuleiten, verwenden Sie bitte die Rich-Sprache.
[--Zone=Zone]
--query-forward-port=Port=portid[-portid]:proto=Protokoll[:toport=portid[-portid]][:toaddr=Adresse[/Maske"]]
Gibt zurück, ob die IPv4 Forward-Port wurde hinzugefügt für Zone. Wenn die Zone weggelassen wird,
Es wird die Standardzone verwendet. Gibt 0 zurück, wenn wahr, andernfalls 1.
Aussichten für IPv6 Um Ports weiterzuleiten, verwenden Sie bitte die Rich-Sprache.
[--Zone=Zone] --add-masquerade
Ermöglichen IPv4 Maskerade für Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
Masquerading ist nützlich, wenn es sich bei der Maschine um einen Router handelt und Maschinen über einen verbunden sind
Eine Schnittstelle in einer anderen Zone sollte die erste Verbindung nutzen können.
Aussichten für IPv6 Maskieren, bitte verwenden Sie die reichhaltige Sprache.
[--Zone=Zone] --remove-masquerade
Deaktivieren IPv4 Maskerade für Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
Aussichten für IPv6 Maskieren, bitte verwenden Sie die reichhaltige Sprache.
[--Zone=Zone] --query-masquerade
Rückgabe ob IPv4 Maskierung wurde aktiviert für Zone. Wenn die Zone weggelassen wird,
Es wird die Standardzone verwendet. Gibt 0 zurück, wenn wahr, andernfalls 1.
Aussichten für IPv6 Maskieren, bitte verwenden Sie die reichhaltige Sprache.
[--Zone=Zone] --list-rich-rules
Liste der hinzugefügten Rich-Language-Regeln Zone als durch Zeilenumbrüche getrennte Liste. Wenn Zone ist
Wird dieser Wert weggelassen, wird die Standardzone verwendet.
[--Zone=Zone] --add-rich-rule='regieren'
Rich-Language-Regel hinzufügen 'regieren' zum Zone. Diese Option kann mehrfach angegeben werden.
Wenn Zone weggelassen wird, wird die Standardzone verwendet.
Die Rich-Language-Regelsyntax finden Sie unter firewalld.richSprache(5).
[--Zone=Zone] --remove-rich-rule='regieren'
Rich-Language-Regel entfernen 'regieren' von Zone. Diese Option kann mehrfach angegeben werden
mal. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
Die Rich-Language-Regelsyntax finden Sie unter firewalld.richSprache(5).
[--Zone=Zone] --query-rich-rule='regieren'
Gibt zurück, ob eine Rich-Language-Regel vorliegt.regieren' wurde hinzugefügt für Zone. Wenn Zone ist
Wird dieser Wert weggelassen, wird die Standardzone verwendet. Gibt 0 zurück, wenn wahr, andernfalls 1.
Die Rich-Language-Regelsyntax finden Sie unter firewalld.richSprache(5).
Optionen zu Handle Bindings of Schnittstellen
Das Binden einer Schnittstelle an eine Zone bedeutet, dass diese Zoneneinstellungen zur Einschränkung des Datenverkehrs verwendet werden
über die Schnittstelle.
Die Optionen in diesem Abschnitt wirken sich nur auf eine bestimmte Zone aus. Bei Verwendung mit --Zone=Zone Option,
Sie wirken sich auf die Zone aus Zone. Wenn die Option weggelassen wird, wirken sie sich auf die Standardzone aus (siehe
--get-default-zone).
Für eine Liste vordefinierter Zonen verwenden Sie Firewall-cmd --get-zones.
Ein Schnittstellenname ist eine bis zu 16 Zeichen lange Zeichenfolge, die nicht enthalten darf ' ', '/', '!'
und '*'.
[--Zone=Zone] --list-interfaces
Listen Sie Schnittstellen auf, die an die Zone gebunden sind Zone als durch Leerzeichen getrennte Liste. Wenn Zone ist
Wird dieser Wert weggelassen, wird die Standardzone verwendet.
[--Zone=Zone] --add-interface=Schnittstelle
Bind-Schnittstelle Schnittstelle in die Zone Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
[--Zone=Zone] --change-interface=Schnittstelle
Ändern Sie die Zone der Schnittstelle Schnittstelle ist an eine Zone gebunden Zone. Wenn die Zone weggelassen wird,
Es wird die Standardzone verwendet. Wenn alte und neue Zone identisch sind, wird der Anruf ignoriert
ohne Fehler. Wenn die Schnittstelle zuvor noch nicht an eine Zone gebunden war, verhält sie sich
Gefällt mir --add-interface.
[--Zone=Zone] --query-interface=Schnittstelle
Abfrage, ob Schnittstelle Schnittstelle ist an die Zone gebunden Zone. Gibt 0 zurück, wenn wahr, 1
Andernfalls.
[--Zone=Zone] --remove-interface=Schnittstelle
Bindung der Schnittstelle entfernen Schnittstelle aus Zone Zone. Wenn die Zone weggelassen wird, wird die Standardzone verwendet
werden verwendet.
Optionen zu Handle Bindings of Quellen
Das Binden einer Quelle an eine Zone bedeutet, dass diese Zoneneinstellungen zur Einschränkung des Datenverkehrs verwendet werden
aus dieser Quelle.
Eine Quelladresse oder ein Adressbereich ist entweder eine IP-Adresse oder eine Netzwerk-IP-Adresse mit einem
Maske für IPv4 oder IPv6 oder eine MAC-Adresse (keine Maske). Bei IPv4 kann die Maske eine Netzwerkmaske sein
oder eine einfache Zahl. Bei IPv6 ist die Maske eine einfache Zahl. Die Verwendung von Hostnamen ist nicht möglich
unterstützt.
Die Optionen in diesem Abschnitt wirken sich nur auf eine bestimmte Zone aus. Bei Verwendung mit --Zone=Zone Option,
Sie wirken sich auf die Zone aus Zone. Wenn die Option weggelassen wird, wirken sie sich auf die Standardzone aus (siehe
--get-default-zone).
Für eine Liste vordefinierter Zonen verwenden Sie Firewall-cmd --get-zones.
[--Zone=Zone] --list-sources
Listen Sie Quellen auf, die an die Zone gebunden sind Zone als durch Leerzeichen getrennte Liste. Wenn Zone ist
Wird dieser Wert weggelassen, wird die Standardzone verwendet.
[--Zone=Zone] --Quelle hinzufügen=Quelle[/Maske"]
Quelle binden Quelle[/Maske"] zur Zone Zone. Wenn Zone weggelassen wird, wird die Standardzone verwendet.
[--Zone=Zone] --change-source=Quelle[/Maske"]
Ändern Sie die Zone der Quelle Quelle[/Maske"] ist an eine Zone gebunden Zone. Wenn die Zone weggelassen wird,
Es wird die Standardzone verwendet. Wenn alte und neue Zone identisch sind, wird der Anruf ignoriert
ohne Fehler. Wenn die Quelle noch nicht an eine Zone gebunden war, verhält sie sich
Gefällt mir --Quelle hinzufügen.
[--Zone=Zone] --query-source=Quelle[/Maske"]
Fragen Sie ab, ob die Quelle Quelle[/Maske"] ist an die Zone gebunden Zone. Gibt 0 zurück, wenn wahr, 1
Andernfalls.
[--Zone=Zone] --remove-source=Quelle[/Maske"]
Bindung der Quelle entfernen Quelle[/Maske"] aus der Zone Zone. Wenn die Zone weggelassen wird, gilt die Standardeinstellung
Zone verwendet wird.
IPSet Optionen
--new-ipset=ipset --Typ=ipset tippe [--Möglichkeit=ipset zu erhalten[=Wert]]
Fügen Sie ein neues permanentes IP-Set hinzu, indem Sie den Typ und optionale Optionen angeben.
--delete-ipset=ipset
Löschen Sie ein vorhandenes permanentes IP-Set.
--info-ipset=ipset
Informationen zum IP-Set drucken ipset. Das Ausgabeformat ist:
ipset
Art: tippe
Optionen: Option1[=Wert1] ..
Einträge: Eintrag1 ..
--get-ipsets
Drucken Sie vordefinierte IP-Sets als durch Leerzeichen getrennte Liste.
--ipset=ipset --Eintrag hinzufügen=Eintrag
Fügen Sie dem IP-Set einen neuen Eintrag hinzu.
--ipset=ipset --Eintrag entfernen=Eintrag
Entfernen Sie einen Eintrag aus dem IP-Set.
--ipset=ipset --query-entry=Eintrag
Gibt zurück, ob der Eintrag zu einem IP-Set hinzugefügt wurde. Gibt 0 zurück, wenn wahr, andernfalls 1.
--ipset=ipset --get-entrys
Listen Sie alle Einträge des IP-Sets auf.
Service Optionen
--info-service=
Drucken Sie Informationen über den Dienst aus . Das Ausgabeformat ist:
Häfen: port1 ..
Protokolle: Protokoll1 ..
Module: module1 ..
Ziel: ipv1:address1 ..
--new-service=
Fügen Sie einen neuen permanenten Dienst hinzu.
--delete-service=
Löschen Sie einen vorhandenen permanenten Dienst.
--Service= --add-port=portid[-portid]/Protokoll
Fügen Sie dem permanenten Dienst einen neuen Port hinzu.
--Service= --remove-port=portid[-portid]/Protokoll
Entfernen Sie einen Port aus dem permanenten Dienst.
--Service= --query-port=portid[-portid]/Protokoll
Gibt zurück, ob der Port zum permanenten Dienst hinzugefügt wurde.
--Service= --get-ports
Listen Sie die zum permanenten Dienst hinzugefügten Ports auf.
--Service= --add-protocol=Protokoll
Fügen Sie dem permanenten Dienst ein neues Protokoll hinzu.
--Service= --remove-protocol=Protokoll
Entfernen Sie ein Protokoll aus dem permanenten Dienst.
--Service= --query-protocol=Protokoll
Gibt zurück, ob das Protokoll zum permanenten Dienst hinzugefügt wurde.
--Service= --get-protocols
Listen Sie Protokolle auf, die dem permanenten Dienst hinzugefügt wurden.
--Service= --add-modul=Modulen
Fügen Sie dem permanenten Dienst ein neues Modul hinzu.
--Service= --remove-module=Modulen
Entfernen Sie ein Modul aus dem permanenten Dienst.
--Service= --query-module=Modulen
Gibt zurück, ob das Modul zum permanenten Dienst hinzugefügt wurde.
--Service= --get-modules
Listen Sie Module auf, die dem permanenten Dienst hinzugefügt wurden.
--Service= --add-destination=statt:Adresse[/Maske"]
Legen Sie das Ziel für IPV auf Adresse[/Maske] im permanenten Dienst fest.
--Service= --remove-destination=statt
Entfernen Sie das Ziel für IPV aus dem permanenten Dienst.
--Service= --query-destination=statt:Adresse[/Maske"]
Gibt zurück, ob die Ziel-IPV an Adresse[/mask] in der permanenten Adresse festgelegt wurde
Bedienung.
--Service= --get-destinations
Zum permanenten Dienst hinzugefügte Ziele auflisten.
Internet Control Nachricht Protokoll (ICMP) tippe Optionen
--info-icmptype=icmptype
Gibt Informationen zum ICMP-Typ aus icmptype. Das Ausgabeformat ist:
icmptype
Ziel: ipv1 ..
--new-icmptype=icmptype
Fügen Sie einen neuen permanenten ICMP-Typ hinzu.
--delete-icmptype=icmptype
Löschen Sie einen vorhandenen permanenten ICMP-Typ.
--icmptype=icmptype --add-destination=statt
Aktivieren Sie das Ziel für IPV im permanenten ICMP-Typ. IPv ist eines davon ipv4 or ipv6.
--icmptype=icmptype --remove-destination=statt
Deaktivieren Sie das Ziel für IPV im permanenten ICMP-Typ. IPv ist eines davon ipv4 or ipv6.
--icmptype=icmptype --query-destination=statt
Gibt zurück, ob das Ziel für IPV im permanenten ICMP-Typ aktiviert ist. IPv ist eines davon
ipv4 or ipv6.
--icmptype=icmptype --get-destinations
Ziele im permanenten ICMP-Typ auflisten.
Direkt Optionen
Die direkten Optionen ermöglichen einen direkteren Zugriff auf die Firewall. Für diese Optionen ist ein Benutzer erforderlich
grundlegende iptables-Konzepte kennen, d. h Tabelle (filter/mangle/nat/...), Kette
(EINGABE/AUSGABE/WEITERLEITEN/...), Befehle (-A/-D/-I/...), Parameter (-p/-s/-d/-j/...) und
Ziele (AKZEPTIEREN/ENTFERNEN/ABLEHNEN/...).
Direkte Optionen sollten nur als letztes Mittel verwendet werden, wenn dies nicht möglich ist
Beispiel --add-service= or --add-rich-rule='regieren'.
Das erste Argument jeder Option muss sein ipv4 or ipv6 or eb. Mit ipv4 es wird für sein
IPv4 (iptables(8)), mit ipv6 für IPv6 (ip6tables(8)) und mit eb für Ethernet-Brücken
(ebtables(8)).
--Direkte --get-all-chains
Alle Ketten zu allen Tabellen hinzufügen.
Diese Option betrifft nur Ketten, die zuvor mit hinzugefügt wurden --Direkte --add-chain.
--Direkte --get-chains { ipv4 | ipv6 | eb } Tabelle
Alle Ketten zur Tabelle hinzufügen Tabelle als durch Leerzeichen getrennte Liste.
Diese Option betrifft nur Ketten, die zuvor mit hinzugefügt wurden --Direkte --add-chain.
--Direkte --add-chain { ipv4 | ipv6 | eb } Tabelle Kette
Fügen Sie eine neue Kette mit Namen hinzu Kette zu Tisch Tabelle.
Es gibt bereits grundlegende Ketten, die beispielsweise mit direkten Optionen verwendet werden können INPUT_direct
Kette (siehe iptables-save | grep Direkt Ausgabe für alle). Diese Ketten sind
Es wird vor Zonenketten gesprungen, also in jede Regel INPUT_direct wird sein
vor Regeln in Zonen überprüft.
--Direkte --remove-chain { ipv4 | ipv6 | eb } Tabelle Kette
Entfernen Sie die Kette mit dem Namen Kette aus der Tabelle Tabelle.
--Direkte --query-chain { ipv4 | ipv6 | eb } Tabelle Kette
Gibt zurück, ob eine Kette mit Namen vorliegt Kette existiert in der Tabelle Tabelle. Gibt 0 zurück, wenn wahr, 1
Andernfalls.
Diese Option betrifft nur Ketten, die zuvor mit hinzugefügt wurden --Direkte --add-chain.
--Direkte --get-all-rules
Alle Regeln werden allen Ketten in allen Tabellen als durch Zeilenumbrüche getrennte Liste hinzugefügt
Priorität und Argumente.
--Direkte --get-rules { ipv4 | ipv6 | eb } Tabelle Kette
Alle Regeln zur Kette hinzufügen Kette in der Tabelle Tabelle als durch Zeilenumbrüche getrennte Liste der
Priorität und Argumente.
--Direkte --add-rule { ipv4 | ipv6 | eb } Tabelle Kette Prioritätsliste args
Fügen Sie eine Regel mit den Argumenten hinzu args verketten Kette in der Tabelle Tabelle mit Priorität
Prioritätsliste.
Das Prioritätsliste wird zum Ordnen von Regeln verwendet. Priorität 0 bedeutet, dass die Regel oben in der Kette hinzugefügt wird.
bei höherer Priorität wird die Regel weiter unten eingefügt. Regeln mit dem gleichen
Die Priorität liegt auf der gleichen Ebene und die Reihenfolge dieser Regeln ist nicht festgelegt und kann möglicherweise sein
ändern. Wenn Sie sicherstellen möchten, dass eine Regel nach einer anderen hinzugefügt wird, verwenden Sie a
niedrige Priorität für den ersten und eine höhere für den folgenden.
--Direkte --remove-rule { ipv4 | ipv6 | eb } Tabelle Kette Prioritätsliste args
Entfernen Sie eine Regel mit Prioritätsliste und die Argumente args aus Kette Kette in der Tabelle Tabelle.
--Direkte --remove-rules { ipv4 | ipv6 | eb } Tabelle Kette
Entfernen Sie alle Regeln in der Kette mit Namen Kette existiert in der Tabelle Tabelle.
Diese Option betrifft nur Regeln, die zuvor mit hinzugefügt wurden --Direkte --add-rule in diesem
Kette.
--Direkte --query-rule { ipv4 | ipv6 | eb } Tabelle Kette Prioritätsliste args
Gibt zurück, ob eine Regel mit Prioritätsliste und die Argumente args existiert in der Kette Kette in
Tabelle Tabelle. Gibt 0 zurück, wenn wahr, andernfalls 1.
--Direkte --get-all-passthroughs
Erhalten Sie alle permanenten Passthroughs als durch Zeilenumbrüche getrennte Liste des IPV-Werts und
Argumente.
--Direkte --get-passthroughs { ipv4 | ipv6 | eb }
Rufen Sie alle permanenten Passthrough-Regeln für den IPV-Wert als durch Zeilenumbrüche getrennte Liste ab
die Priorität und Argumente.
--Direkte --add-passthrough { ipv4 | ipv6 | eb } args
Fügen Sie eine permanente Passthrough-Regel mit den Argumenten hinzu args für den IPV-Wert.
--Direkte --remove-passthrough { ipv4 | ipv6 | eb } args
Entfernen Sie eine permanente Passthrough-Regel mit den Argumenten args für den IPV-Wert.
--Direkte --query-passthrough { ipv4 | ipv6 | eb } args
Gibt mit den Argumenten zurück, ob eine permanente Passthrough-Regel vorliegt args existiert für das IPV
Wert. Gibt 0 zurück, wenn wahr, andernfalls 1.
Situation Optionen
Lokale Anwendungen oder Dienste können die Firewall-Konfiguration ändern, sofern dies der Fall ist
als Root ausgeführt werden (Beispiel: libvirt) oder mithilfe von PolicyKit authentifiziert werden. Mit dieser Funktion
Administratoren können die Firewall-Konfiguration sperren, sodass nur Anwendungen gesperrt werden
Whitelist-Mitglieder können Firewall-Änderungen anfordern.
Die Sperrzugriffsprüfung schränkt D-Bus-Methoden ein, die Firewall-Regeln ändern. Anfrage,
list- und get-Methoden sind nicht beschränkt.
Die Sperrfunktion ist eine sehr vereinfachte Version der Benutzer- und Anwendungsrichtlinien für
firewalld und ist standardmäßig deaktiviert.
--lockdown-on
Sperre aktivieren. Seien Sie vorsichtig – wenn firewall-cmd nicht auf der Lockdown-Whitelist steht, wenn Sie
Wenn Sie die Sperre aktivieren, können Sie sie mit firewall-cmd nicht wieder deaktivieren
Sie müssen firewalld.conf bearbeiten.
--lockdown-off
Sperrung deaktivieren.
--query-lockdown
Fragen Sie ab, ob die Sperre aktiviert ist. Gibt 0 zurück, wenn die Sperre aktiviert ist, andernfalls 1.
Situation Whitelist Optionen
Die Lockdown-Whitelist kann enthalten Befehle, Kontexte, Nutzer und Benutzer ids.
Wenn ein Befehlseintrag in der Whitelist mit einem Sternchen „*“ endet, dann alle Befehlszeilen
Beginnend mit dem Befehl stimmt überein. Wenn das „*“ nicht vorhanden ist, handelt es sich um den absoluten Befehl
Inklusivargumente müssen übereinstimmen.
Befehle für Benutzer root und andere sind nicht immer gleich. Beispiel: Als Root
/bin/firewall-cmd wird als normaler Benutzer verwendet /usr/bin/firewall-cmd soll auf Fedora verwendet werden.
Der Kontext ist der Sicherheitskontext (SELinux) einer laufenden Anwendung oder eines laufenden Dienstes. Zu bekommen
den Kontext einer laufenden Anwendungsnutzung ps -e --Kontext.
Warnung: Wenn der Kontext nicht eingeschränkt ist, wird der Zugriff für mehr als die geöffnet
gewünschte Anwendung.
Die Lockdown-Whitelist-Einträge werden in der folgenden Reihenfolge überprüft:
1. Kontext
2. uid
3. Benutzer
4. Befehl
--list-lockdown-whitelist-commands
Listen Sie alle Befehlszeilen auf, die auf der Whitelist stehen.
--add-lockdown-whitelist-command=Befehl
Fügen Sie Befehl zur Whitelist.
--remove-lockdown-whitelist-command=Befehl
Entferne das Befehl aus der Whitelist.
--query-lockdown-whitelist-command=Befehl
Abfrage, ob die Befehl steht auf der Whitelist. Gibt 0 zurück, wenn wahr, andernfalls 1.
--list-lockdown-whitelist-contexts
Listen Sie alle Kontexte auf, die auf der Whitelist stehen.
--add-lockdown-whitelist-context=Kontext
Fügen Sie den Kontext hinzu Kontext zur Whitelist.
--remove-lockdown-whitelist-context=Kontext
Entferne das Kontext aus der Whitelist.
--query-lockdown-whitelist-context=Kontext
Abfrage, ob die Kontext steht auf der Whitelist. Gibt 0 zurück, wenn wahr, andernfalls 1.
--list-lockdown-whitelist-uids
Listen Sie alle Benutzer-IDs auf, die auf der Whitelist stehen.
--add-lockdown-whitelist-uid=uid
Fügen Sie die Benutzer-ID hinzu uid zur Whitelist.
--remove-lockdown-whitelist-uid=uid
Entfernen Sie die Benutzer-ID uid aus der Whitelist.
--query-lockdown-whitelist-uid=uid
Fragen Sie ab, ob die Benutzer-ID uid steht auf der Whitelist. Gibt 0 zurück, wenn wahr, andernfalls 1.
--list-lockdown-whitelist-users
Listen Sie alle Benutzernamen auf, die auf der Whitelist stehen.
--add-lockdown-whitelist-user=Benutzer
Fügen Sie den Benutzernamen hinzu Benutzer zur Whitelist.
--remove-lockdown-whitelist-user=Benutzer
Entfernen Sie den Benutzernamen Benutzer aus der Whitelist.
--query-lockdown-whitelist-user=Benutzer
Fragen Sie ab, ob der Benutzername Benutzer steht auf der Whitelist. Gibt 0 zurück, wenn wahr, andernfalls 1.
Rückgabepolitik Optionen
--policy-server
Polkit-Aktionen in „Server“ ändern (eingeschränkter)
--policy-desktop
Polkit-Aktionen in „Desktop“ ändern (weniger eingeschränkt)
Verwenden Sie firewall-offline-cmd online über die Dienste von onworks.net
