Este es el comando firewall-cmd que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
firewall-cmd - cliente de línea de comandos firewalld
SINOPSIS
cortafuegos-cmd [OPCIONES ...]
DESCRIPCIÓN
firewall-cmd es el cliente de línea de comandos del demonio firewalld. Proporciona una interfaz para
administrar el tiempo de ejecución y la configuración permanente.
La configuración de tiempo de ejecución en firewalld está separada de la configuración permanente. Esta
significa que las cosas pueden cambiar en el tiempo de ejecución o en la configuración permanente.
OPCIONES
Se admiten las siguientes opciones:
General
-h, --ayuda
Imprime un breve texto de ayuda y sale.
-V, --versión
Imprime la cadena de versión de firewalld. Esta opción no es combinable con otras
.
-q, --tranquilo
No imprima mensajes de estado.
Estado
--estado
Compruebe si el demonio firewalld está activo (es decir, ejecutándose). Devuelve un código de salida 0 si
está activo, NO CORRAS de lo contrario (consulte la sección denominada "CÓDIGOS DE SALIDA"). Esta voluntad
también imprime el estado para SALIDA ESTÁNDAR.
--recargar
Vuelva a cargar las reglas del cortafuegos y conserve la información del estado. La configuración permanente actual
convertirse en una nueva configuración de tiempo de ejecución, es decir, todos los cambios de tiempo de ejecución solo se realizan hasta que se recarga
se pierden con la recarga si no han estado también en configuración permanente.
- recarga completa
Vuelva a cargar el firewall por completo, incluso los módulos del kernel de netfilter. Lo más probable es que esto
terminar las conexiones activas, porque se pierde la información de estado. Esta opción debería
sólo se puede utilizar en caso de problemas graves de cortafuegos. Por ejemplo, si hay estado
Problemas de información que no se puede establecer una conexión con un firewall correcto.
reglas.
--runtime-to-permanente
Guarde la configuración de tiempo de ejecución activa y sobrescriba la configuración permanente con ella. El
La forma en que se supone que esto funciona es que al configurar FireWalld se realizan cambios en el tiempo de ejecución.
solo y una vez que esté satisfecho con la configuración y haya probado que funciona de la manera
que desee, guarde la configuración en el disco.
--obtener-registro-denegado
Imprima la configuración de registro denegado.
--set-registro-denegado=valor
Agregue reglas de registro justo antes de rechazar y eliminar las reglas en ENTRADA, AVANCE y SALIDA
cadenas para las reglas predeterminadas y también reglas finales de rechazo y caída en zonas para el
tipo de paquete de capa de enlace configurado. Los valores posibles son: que todas, unicast, transmisión,
multicast y off. La configuración predeterminada es off, que desactiva el registro.
Este es un tiempo de ejecución y un cambio permanente y también recargará el firewall para poder
agregue las reglas de registro.
Permanente
--permanente
La opción permanente --permanente se puede utilizar para configurar opciones de forma permanente. Estos cambios
no son efectivos inmediatamente, solo después de reiniciar / recargar el servicio o reiniciar el sistema.
Sin el --permanente opción, un cambio solo será parte del tiempo de ejecución
configuración.
Si desea realizar un cambio en el tiempo de ejecución y la configuración permanente, use la misma llamada
con y sin el --permanente .
La sección --permanente La opción se puede agregar opcionalmente a todas las opciones más abajo donde está
soportado.
Zona
--get-default-zone
Imprime la zona predeterminada para conexiones e interfaces.
--establecer-zona-predeterminada=zona
Establezca la zona predeterminada para las conexiones y las interfaces donde no se ha seleccionado ninguna zona.
La configuración de la zona predeterminada cambia la zona para las conexiones o interfaces, que son
utilizando la zona predeterminada.
Este es un tiempo de ejecución y un cambio permanente.
--obtener-zonas-activas
Imprima las zonas actualmente activas junto con las interfaces y fuentes utilizadas en estos
zonas. Las zonas activas son zonas que tienen un enlace a una interfaz o fuente. El
el formato de salida es:
zone1
interfaces: interfaz1 interfaz2 ..
fuentes: source1 ..
zone2
interfaces: interfaz3 ..
zone3
fuentes: source2 ..
Si no hay interfaces o fuentes vinculadas a la zona, la línea correspondiente se
ser omitido.
[--permanente] --obtener-zonas
Imprima zonas predefinidas como una lista separada por espacios.
[--permanente] --obtener-servicios
Imprima servicios predefinidos como una lista separada por espacios.
[--permanente] --get-tipos-icmp
Imprima icmptypes predefinidos como una lista separada por espacios.
[--permanente] --obtener-zona-de-interfaz=interfaz.
Imprima el nombre de la zona interfaz. está vinculado ao no zona.
[--permanente] --get-zona-de-fuente=fuente[/máscara]
Imprima el nombre de la zona fuente[/máscara] está vinculado ao no zona.
[--permanente] --info-zone =zona
Imprimir información sobre la zona zona. El formato de salida es:
zona
interfaces: interfaz1 ..
fuentes: source1 ..
servicios: service1 ..
puertos: port1 ..
protocolos: protocolo1 ..
puertos de reenvío:
puerto de reenvío1
..
icmp-blocks: icmp-tipo1 ..
ricas reglas:
rica-regla1
..
[--permanente] --lista-todas-las-zonas
Enumere todo lo agregado o habilitado en todas las zonas. El formato de salida es:
zone1
interfaces: interfaz1 ..
fuentes: source1 ..
servicios: service1 ..
puertos: port1 ..
protocolos: protocolo1 ..
puertos de reenvío:
puerto de reenvío1
..
icmp-blocks: icmp-tipo1 ..
ricas reglas:
rica-regla1
..
..
--permanente - nueva zona=zona
Agrega una nueva zona permanente.
--permanente --delete-zona=zona
Eliminar una zona permanente existente.
--permanente [--zona=zona] --obtener-objetivo
Consigue el objetivo de una zona permanente.
--permanente [--zona=zona] --Poner un objectivo=dirigidos
Establece el objetivo de una zona permanente. dirigidos es uno de: tu préstamo estudiantil, ACEPTAR, DROP, RECHAZAR
a Adaptar y Consulta Zonas
Las opciones de esta sección afectan solo a una zona en particular. Si se usa con --zona=zona opción,
afectan la zona zona. Si se omite la opción, afectan a la zona predeterminada (ver
--get-default-zone).
[--permanente] [--zona=zona] --Listar todo
Enumere todo lo que se agregó o habilitó en zona. Si se omite la zona, la zona predeterminada será
usado.
[--permanente] [--zona=zona] - lista-servicios
Listar servicios agregados para zona como una lista separada por espacios. Si se omite la zona, por defecto
se utilizará la zona.
[--permanente] [--zona=zona] --agregar servicio=TRANSPORTE GRATUITO [--se acabó el tiempo=tiempo]
Agregar un servicio para zona. Si se omite la zona, se utilizará la zona predeterminada. Esta opción puede
ser especificado varias veces. Si se proporciona un tiempo de espera, la regla estará activa para el
período de tiempo especificado y se eliminará automáticamente después. tiempo is
ya sea un número (de segundos) o un número seguido de uno de los caracteres s (segundos), m
(minutos), h (horas), por ejemplo 20m or 1h.
El servicio es uno de los servicios proporcionados por firewalld. Para obtener una lista de los
servicios, uso cortafuegos-cmd --obtener-servicios.
La sección --se acabó el tiempo La opción no es combinable con la --permanente .
[--permanente] [--zona=zona] --eliminar servicio=TRANSPORTE GRATUITO
Eliminar un servicio de zona. Esta opción se puede especificar varias veces. Si la zona es
omitido, se utilizará la zona predeterminada.
[--permanente] [--zona=zona] --servicio de consulta=TRANSPORTE GRATUITO
Devolver si TRANSPORTE GRATUITO ha sido agregado para zona. Si se omite la zona, la zona predeterminada
ser usado. Devuelve 0 si es verdadero, 1 en caso contrario.
[--permanente] [--zona=zona] --lista-puertos
Lista de puertos agregados para zona como una lista separada por espacios. Un puerto tiene la forma
portido[-portido]/protocolo, puede ser un puerto y un par de protocolo o un rango de puertos
con un protocolo. Si se omite la zona, se utilizará la zona predeterminada.
[--permanente] [--zona=zona] --añadir-puerto=portido[-portido]/protocolo [--se acabó el tiempo=tiempo]
Agregue el puerto para zona. Si se omite la zona, se utilizará la zona predeterminada. Esta opción puede
ser especificado varias veces. Si se proporciona un tiempo de espera, la regla estará activa para el
período de tiempo especificado y se eliminará automáticamente después. tiempo is
ya sea un número (de segundos) o un número seguido de uno de los caracteres s (segundos), m
(minutos), h (horas), por ejemplo 20m or 1h.
El puerto puede ser un número de puerto único o un rango de puertos portido-portido.
el protocolo puede ser tcp or udp.
La sección --se acabó el tiempo La opción no es combinable con la --permanente .
[--permanente] [--zona=zona] --quitar-puerto=portido[-portido]/protocolo
Quite el puerto de zona. Si se omite la zona, se utilizará la zona predeterminada. Esta opción
se puede especificar varias veces.
[--permanente] [--zona=zona] --Puerto de consulta=portido[-portido]/protocolo
Devuelve si el puerto se ha agregado para zona. Si se omite la zona, la zona predeterminada
ser usado. Devuelve 0 si es verdadero, 1 en caso contrario.
[--permanente] [--zona=zona] --lista-protocolos
Lista de protocolos agregados para zona como una lista separada por espacios. Si se omite la zona, por defecto
se utilizará la zona.
[--permanente] [--zona=zona] --agregar-protocolo=protocolo [--se acabó el tiempo=tiempo]
Agregue el protocolo para zona. Si se omite la zona, se utilizará la zona predeterminada. Esta opción
se puede especificar varias veces. Si se proporciona un tiempo de espera, la regla estará activa durante
la cantidad de tiempo especificada y se eliminará automáticamente después. tiempo is
ya sea un número (de segundos) o un número seguido de uno de los caracteres s (segundos), m
(minutos), h (horas), por ejemplo 20m or 1h.
El protocolo puede ser cualquier protocolo admitido por el sistema. Por favor eche un vistazo a
/ etc / protocolos para protocolos compatibles.
La sección --se acabó el tiempo La opción no es combinable con la --permanente .
[--permanente] [--zona=zona] --remove-protcol=protocolo
Eliminar el protocolo de zona. Si se omite la zona, se utilizará la zona predeterminada. Esta
La opción se puede especificar varias veces.
[--permanente] [--zona=zona] --protocolo de consulta=protocolo
Devuelve si el protocolo se ha agregado para zona. Si se omite la zona, la zona predeterminada
se utilizará. Devuelve 0 si es verdadero, 1 en caso contrario.
[--permanente] [--zona=zona] --list-icmp-bloques
Enumere los bloques de tipo Protocolo de mensajes de control de Internet (ICMP) agregados para zona como un espacio
lista separada. Si se omite la zona, se utilizará la zona predeterminada.
[--permanente] [--zona=zona] --add-icmp-bloque=icmptipo [--se acabó el tiempo=tiempo]
Agregue un bloque ICMP para icmptipo para zona. Si se omite la zona, la zona predeterminada será
usado. Esta opción se puede especificar varias veces. Si se proporciona un tiempo de espera, la regla
estará activo durante el período de tiempo especificado y se eliminará automáticamente
después. tiempo es un número (de segundos) o un número seguido de uno de
personajes s (segundos), m (minutos), h (horas), por ejemplo 20m or 1h.
La sección icmptipo es uno de los tipos de icmp que admite firewalld. Para obtener una lista de
tipos de icmp admitidos: cortafuegos-cmd --get-tipos-icmp
La sección --se acabó el tiempo La opción no es combinable con la --permanente .
[--permanente] [--zona=zona] --remove-icmp-bloque=icmptipo
Quite el bloque ICMP para icmptipo Desde zona. Si se omite la zona, la zona predeterminada será
usó. Esta opción se puede especificar varias veces.
[--permanente] [--zona=zona] --query-icmp-bloque=icmptipo
Devuelve si un bloque ICMP para icmptipo ha sido agregado para zona. Si se omite la zona,
se utilizará la zona predeterminada. Devuelve 0 si es verdadero, 1 en caso contrario.
[--permanente] [--zona=zona] --list-forward-ports
Lista IPv4 puertos de reenvío agregados para zona como una lista separada por espacios. Si se omite la zona,
se utilizará la zona predeterminada.
Para los ensayos clínicos de CRISPR, IPv6 puertos de reenvío, utilice el lenguaje enriquecido.
[--permanente] [--zona=zona]
--añadir-reenviar-puerto= puerto =portido[-portido]: proto =protocolo[: toport =portido[-portido]] [: toaddr =de facturación[/máscara]]
[--se acabó el tiempo=tiempo]
Agregar el formulario IPv4 puerto de reenvío para zona. Si se omite la zona, se utilizará la zona predeterminada.
Esta opción se puede especificar varias veces. Si se proporciona un tiempo de espera, la regla
estar activo durante el período de tiempo especificado y se eliminará automáticamente
después. tiempo es un número (de segundos) o un número seguido de uno de
personajes s (segundos), m (minutos), h (horas), por ejemplo 20m or 1h.
El puerto puede ser un solo número de puerto portido o un rango de puertos portido-portido.
el protocolo puede ser tcp or udp. La dirección de destino es una dirección IP simple.
La sección --se acabó el tiempo La opción no es combinable con la --permanente .
Para los ensayos clínicos de CRISPR, IPv6 puertos de reenvío, utilice el lenguaje enriquecido.
[--permanente] [--zona=zona]
--eliminar-puerto-adelante= puerto =portido[-portido]: proto =protocolo[: toport =portido[-portido]] [: toaddr =de facturación[/máscara]]
Eliminar el IPv4 puerto de reenvío desde zona. Si se omite la zona, se utilizará la zona predeterminada.
Esta opción se puede especificar varias veces.
Para los ensayos clínicos de CRISPR, IPv6 puertos de reenvío, utilice el lenguaje enriquecido.
[--permanente] [--zona=zona]
--query-forward-puerto= puerto =portido[-portido]: proto =protocolo[: toport =portido[-portido]] [: toaddr =de facturación[/máscara]]
Devolver si el IPv4 Se ha agregado el puerto de reenvío para zona. Si se omite la zona,
se utilizará la zona predeterminada. Devuelve 0 si es verdadero, 1 en caso contrario.
Para los ensayos clínicos de CRISPR, IPv6 puertos de reenvío, utilice el lenguaje enriquecido.
[--permanente] [--zona=zona] --añadir-mascarada [--se acabó el tiempo=tiempo]
Habilitar IPv4 mascarada para zona. Si se omite la zona, se utilizará la zona predeterminada. Si un
se proporciona un tiempo de espera, el enmascaramiento estará activo durante el período de tiempo especificado.
tiempo es un número (de segundos) o un número seguido de uno de los caracteres s
(segundos), m (minutos), h (horas), por ejemplo 20m or 1h. El enmascaramiento es útil si
la máquina es un enrutador y las máquinas están conectadas a través de una interfaz en otra zona
debería poder utilizar la primera conexión.
La sección --se acabó el tiempo La opción no es combinable con la --permanente .
Para los ensayos clínicos de CRISPR, IPv6 enmascarado, utilice el lenguaje enriquecido.
[--permanente] [--zona=zona] - quitar-mascarada
Deshabilitar IPv4 mascarada para zona. Si se omite la zona, se utilizará la zona predeterminada. Si
el enmascaramiento se habilitó con un tiempo de espera, también se deshabilitará.
Para los ensayos clínicos de CRISPR, IPv6 enmascarado, utilice el lenguaje enriquecido.
[--permanente] [--zona=zona] --consulta-mascarada
Devolver si IPv4 el enmascaramiento se ha habilitado para zona. Si se omite la zona,
se utilizará la zona predeterminada. Devuelve 0 si es verdadero, 1 en caso contrario.
Para los ensayos clínicos de CRISPR, IPv6 enmascarado, utilice el lenguaje enriquecido.
[--permanente] [--zona=zona] --list-rich-regles
Enumere las reglas de lenguaje enriquecido agregadas para zona como una lista separada por saltos de línea. Si la zona es
omitido, se utilizará la zona predeterminada.
[--permanente] [--zona=zona] --añadir-regla-enriquecida='gobernar'[--se acabó el tiempo=tiempo]
Agregar regla de lenguaje enriquecido 'gobernar' para zona. Esta opción se puede especificar varias veces.
Si se omite la zona, se utilizará la zona predeterminada. Si se proporciona un tiempo de espera, el gobernar will
estar activo durante el período de tiempo especificado y se eliminará automáticamente
después. tiempo es un número (de segundos) o un número seguido de uno de
personajes s (segundos), m (minutos), h (horas), por ejemplo 20m or 1h.
Para conocer la sintaxis de las reglas del lenguaje enriquecido, eche un vistazo a cortafuegosd.richlanguage(5).
La sección --se acabó el tiempo La opción no es combinable con la --permanente .
[--permanente] [--zona=zona] --remove-rich-regla='gobernar'
Eliminar la regla de lenguaje enriquecido 'gobernar' desde zona. Esta opción se puede especificar varias
veces. Si se omite la zona, se utilizará la zona predeterminada.
Para conocer la sintaxis de las reglas del lenguaje enriquecido, eche un vistazo a cortafuegosd.richlanguage(5).
[--permanente] [--zona=zona] --query-rich-regla='gobernar'
Devuelve si una regla de lenguaje enriquecido 'gobernar'ha sido añadido para zona. Si la zona es
omitido, se utilizará la zona predeterminada. Devuelve 0 si es verdadero, 1 en caso contrario.
Para conocer la sintaxis de las reglas del lenguaje enriquecido, eche un vistazo a cortafuegosd.richlanguage(5).
a Manejar encuadernaciones of Interfaces
Vincular una interfaz a una zona significa que la configuración de esta zona se utiliza para restringir el tráfico.
a través de la interfaz.
Las opciones de esta sección afectan solo a una zona en particular. Si se usa con --zona=zona opción,
afectan la zona zona. Si se omite la opción, afectan a la zona predeterminada (ver
--get-default-zone).
Para obtener una lista de zonas predefinidas, utilice cortafuegos-cmd --obtener-zonas.
Un nombre de interfaz es una cadena de hasta 16 caracteres que no puede contener ' ', "/", '!'
y '*'.
[--permanente] [--zona=zona] --lista-interfaces
Enumere las interfaces que están vinculadas a la zona zona como una lista separada por espacios. Si la zona es
omitido, se utilizará la zona predeterminada.
[--permanente] [--zona=zona] --add-interfaz=interfaz.
Vincular interfaz interfaz. a la zona zona. Si se omite la zona, se utilizará la zona predeterminada.
Como usuario final, no necesita esto en la mayoría de los casos, porque NetworkManager (o legacy
servicio de red) agrega interfaces en las zonas automáticamente (de acuerdo con ZONA = opción
de ifcfg-interfaz. archivo) si NM_CONTROLLED = no no está configurado. Deberías hacerlo solo si
no hay / etc / sysconfig / network-scripts / ifcfg-interfaz. Archivo. Si existe tal archivo
y agrega interfaz a la zona con esto --add-interfaz opción, asegúrese de que la zona esté
lo mismo en ambos casos, de lo contrario el comportamiento sería indefinido. Por favor también tenga un
mira el firewalld(1) página de manual en el Conceptos sección. Para asociación permanente
de interfaz con una zona, consulte también '¿Cómo configurar o cambiar una zona para una conexión?' en
firewalld.zonas(5).
[--zona=zona] --cambio de interfaz=interfaz.
Cambiar zona la interfaz interfaz. está vinculado a la zona zona. Es básicamente
--remove-interfaz seguido por --add-interfaz. Si la interfaz no se ha vinculado a
una zona antes, se comporta como --add-interfaz. Si se omite la zona, la zona predeterminada
ser usado.
[--permanente] [--zona=zona] --interfaz de consulta=interfaz.
Consultar si la interfaz interfaz. está vinculado a la zona zona. Devuelve 0 si es verdadero, 1
de otra manera.
[--permanente] --remove-interfaz=interfaz.
Eliminar enlace de interfaz interfaz. de la zona a la que se agregó anteriormente.
a Manejar encuadernaciones of Fuentes
Vincular una fuente a una zona significa que la configuración de esta zona se utilizará para restringir el tráfico
de esta fuente.
Una dirección de origen o un rango de direcciones es una dirección IP o una dirección IP de red con un
máscara para IPv4 o IPv6 o una dirección MAC (sin máscara). Para IPv4, la máscara puede ser una máscara de red.
o un simple número. Para IPv6, la máscara es un número simple. El uso de nombres de host no es
soportado.
Las opciones de esta sección afectan solo a una zona en particular. Si se usa con --zona=zona opción,
afectan la zona zona. Si se omite la opción, afectan a la zona predeterminada (ver
--get-default-zone).
Para obtener una lista de zonas predefinidas, utilice cortafuegos-cmd [--permanente] --obtener-zonas.
[--permanente] [--zona=zona] --lista-fuentes
Enumere las fuentes que están vinculadas a la zona zona como una lista separada por espacios. Si la zona es
omitido, se utilizará la zona predeterminada.
[--permanente] [--zona=zona] --Agregue una fuente=fuente[/máscara]
Vincular fuente fuente[/máscara] a la zona zona. Si se omite la zona, se utilizará la zona predeterminada.
[--zona=zona] --cambiar-fuente=fuente[/máscara]
Cambiar zona la fuente fuente[/máscara] está vinculado a la zona zona. Es básicamente
--remove-fuente seguido por --Agregue una fuente. Si la fuente no se ha vinculado a una zona
antes, se comporta como --Agregue una fuente. Si se omite la zona, se utilizará la zona predeterminada.
[--permanente] [--zona=zona] --fuente de consulta=fuente[/máscara]
Consulta si la fuente fuente[/máscara] está vinculado a la zona zona. Devuelve 0 si es verdadero, 1
de otra manera.
[--permanente] --remove-fuente=fuente[/máscara]
Eliminar la unión de la fuente fuente[/máscara] de la zona a la que se agregó anteriormente.
Conjunto IP
--permanente --nuevo-ipset=conjunto de ips --escribe=conjunto de ips tipo [--opción=conjunto de ips opción[=valor]]
Agregue un nuevo ipset permanente especificando el tipo y las opciones opcionales.
--permanente --eliminar-ipset=conjunto de ips
Elimina un ipset permanente existente.
[--permanente] --info-ipset =conjunto de ips
Imprimir información sobre ipset conjunto de ips. El formato de salida es:
conjunto de ips
tipo: tipo
opciones: opción1 [= valor1] ..
entradas: entrada1 ..
[--permanente] --get-ipsets
Imprima ipsets predefinidos como una lista separada por espacios.
[--permanente] --ipset=conjunto de ips --Añadir entrada=entrada
Agregue una nueva entrada al ipset.
[--permanente] --ipset=conjunto de ips --elimine la entrada=entrada
Elimina una entrada del ipset.
[--permanente] --ipset=conjunto de ips - entrada de consulta=entrada
Devuelve si la entrada se ha agregado a un ipset. Devuelve 0 si es verdadero, 1 en caso contrario.
[--permanente] --ipset=conjunto de ips --obtener-entradas
Enumere todas las entradas del ipset.
Servicio
Las opciones de esta sección afectan solo a un servicio en particular.
[--permanente] --info-service =TRANSPORTE GRATUITO
Imprimir información sobre el servicio TRANSPORTE GRATUITO. El formato de salida es:
TRANSPORTE GRATUITO
puertos: port1 ..
protocolos: protocolo1 ..
módulos: módulo1 ..
destino: ipv1:address1 ..
Las siguientes opciones solo se pueden utilizar en la configuración permanente.
--permanente --nuevo-servicio=TRANSPORTE GRATUITO
Agregue un nuevo servicio permanente.
--permanente --borrar-servicio=TRANSPORTE GRATUITO
Eliminar un servicio permanente existente.
--permanente --Servicio=TRANSPORTE GRATUITO --añadir-puerto=portido[-portido]/protocolo
Agregue un nuevo puerto al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --quitar-puerto=portido[-portido]/protocolo
Eliminar un puerto del servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --Puerto de consulta=portido[-portido]/protocolo
Regrese si el puerto se ha agregado al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --get-puertos
Enumere los puertos agregados al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --agregar-protocolo=protocolo
Agregue un nuevo protocolo al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --remove-protocolo=protocolo
Eliminar un protocolo del servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --protocolo de consulta=protocolo
Regrese si el protocolo se ha agregado al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --obtener-protocolos
Enumere los protocolos agregados al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --add-módulo=módulo
Agregue un nuevo módulo al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --quitar-módulo=módulo
Retirar un módulo del servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO - módulo de consulta=módulo
Regrese si el módulo se ha agregado al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --get-módulos
Enumere los módulos agregados al servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --add-destino=En lugar de :de facturación[/máscara]
Establezca el destino para ipv en la dirección [/ máscara] en el servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --eliminar destino=En lugar de
Elimine el destino de ipv del servicio permanente.
--permanente --Servicio=TRANSPORTE GRATUITO --consulta-destino=En lugar de :de facturación[/máscara]
Regrese si el ipv de destino a la dirección [/ máscara] se ha configurado en el
.
--permanente --Servicio=TRANSPORTE GRATUITO --obtener-destinos
Enumere los destinos agregados al servicio permanente.
Internet Control: Mensaje Protocolo (ICMP) tipo
Las opciones de esta sección afectan solo a un tipo de icmp en particular.
[--permanente] --info-icmptype =icmptipo
Imprimir información sobre icmptype icmptipo. El formato de salida es:
icmptipo
destino: ipv1 ..
Las siguientes opciones solo se pueden utilizar en la configuración permanente.
--permanente --nuevo-tipo-icmp=icmptipo
Agregue un nuevo tipo de icmp permanente.
--permanente --delete-icmptipo=icmptipo
Elimina un icmptype permanente existente.
--permanente --icmptipo=icmptipo --add-destino=En lugar de
Habilite el destino para ipv en icmptype permanente. ipv es uno de ipv4 or ipv6.
--permanente --icmptipo=icmptipo --eliminar destino=En lugar de
Deshabilite el destino para ipv en icmptype permanente. ipv es uno de ipv4 or ipv6.
--permanente --icmptipo=icmptipo --consulta-destino=En lugar de
Devuelve si el destino para ipv está habilitado en icmptype permanente. ipv es uno de
ipv4 or ipv6.
--permanente --icmptipo=icmptipo --obtener-destinos
Enumere los destinos en icmptype permanente.
Directo
Las opciones directas dan un acceso más directo al cortafuegos. Estas opciones requieren que el usuario
conocer conceptos básicos de iptables, es decir mesa (filtro / mangle / nat / ...), cadena
(ENTRADA / SALIDA / AVANCE / ...), comandos (-A / -D / -I / ...), parámetros (-p / -s / -d / -j / ...) y
tiene como objetivo (ACEPTAR / SOLTAR / RECHAZAR / ...).
Las opciones directas deben usarse solo como último recurso cuando no es posible usarlas para
(aqui) --agregar servicio=TRANSPORTE GRATUITO or --añadir-regla-enriquecida='gobernar'.
El primer argumento de cada opción debe ser ipv4 or ipv6 or eb. Con ipv4 será para
IPv4 (iptables(8)), con ipv6 para IPv6 (tablas ip6(8)) y con eb para puentes ethernet
(ebtables(8)).
[--permanente] --directo --obtener-todas-cadenas
Obtenga todas las cadenas agregadas a todas las tablas. Esta opción se refiere solo a las cadenas agregadas anteriormente.
con --directo --add-cadena.
[--permanente] --directo --obtener cadenas { ipv4 | ipv6 | eb } mesa
Obtenga todas las cadenas agregadas a la mesa mesa como una lista separada por espacios. Esta opción concierne
solo cadenas previamente agregadas con --directo --add-cadena.
[--permanente] --directo --add-cadena { ipv4 | ipv6 | eb } mesa cadena
Agregar una nueva cadena con nombre cadena a la mesa mesa. Asegúrese de que no haya otra cadena con
este nombre ya.
Ya existen cadenas básicas para usar con opciones directas, por ejemplo ENTRADA_directa
cadena (ver iptables-guardar | grep de reservas salida para todos ellos). Estas cadenas son
saltó antes de las cadenas para las zonas, es decir, cada regla puesta en ENTRADA_directa se mantendrá
comprobado antes de las reglas en las zonas.
[--permanente] --directo - quitar-cadena { ipv4 | ipv6 | eb } mesa cadena
Quitar cadena con nombre cadena de la mesa mesa. Solo cadenas agregadas previamente con
--directo --add-cadena se puede eliminar de esta manera.
[--permanente] --directo --consulta-cadena { ipv4 | ipv6 | eb } mesa cadena
Devuelve si una cadena con nombre cadena existe en la mesa mesa. Devuelve 0 si es verdadero, 1
de lo contrario. Esta opción se refiere solo a las cadenas agregadas previamente con --directo
--add-cadena.
[--permanente] --directo --obtener-todas-las-reglas
Obtenga todas las reglas agregadas a todas las cadenas en todas las tablas como una lista separada por una nueva línea de la
prioridad y argumentos. Esta opción se refiere solo a las reglas previamente agregadas con --directo
--añadir-regla.
[--permanente] --directo --obtener-reglas { ipv4 | ipv6 | eb } mesa cadena
Obtener todas las reglas agregadas a la cadena cadena en mesa mesa como una lista separada por una nueva línea de
prioridad y argumentos. Esta opción se refiere solo a las reglas previamente agregadas con --directo
--añadir-regla.
[--permanente] --directo --añadir-regla { ipv4 | ipv6 | eb } mesa cadena lista de prioridades args
Agrega una regla con los argumentos args encadenar cadena en mesa mesa con prioridad
lista de prioridades.
La sección lista de prioridades se utiliza para ordenar reglas. Prioridad 0 significa agregar una regla en la parte superior de la cadena,
con una prioridad más alta, la regla se agregará más abajo. Reglas con el mismo
prioridad están en el mismo nivel y el orden de estas reglas no es fijo y puede
cambio. Si desea asegurarse de que se agregará una regla después de otra, utilice un
prioridad baja para el primero y mayor para los siguientes.
[--permanente] --directo --quitar-regla { ipv4 | ipv6 | eb } mesa cadena lista de prioridades args
Eliminar una regla con lista de prioridades y los argumentos args de la cadena cadena en mesa mesa.
Solo las reglas agregadas previamente con --directo --añadir-regla se puede eliminar de esta manera.
[--permanente] --directo - eliminar-reglas { ipv4 | ipv6 | eb } mesa cadena
Eliminar todas las reglas de la cadena con nombre cadena existe en la mesa mesa. Esta opción
se refiere solo a las reglas previamente agregadas con --directo --añadir-regla en esta cadena.
[--permanente] --directo --regla-consulta { ipv4 | ipv6 | eb } mesa cadena lista de prioridades args
Devuelve si una regla con lista de prioridades y los argumentos args existe en cadena cadena in
mesa mesa. Devuelve 0 si es verdadero, 1 en caso contrario. Esta opción concierne solo a las reglas
previamente agregado con --directo --añadir-regla.
--directo --pasar por { ipv4 | ipv6 | eb } args
Pase un comando a través del firewall. args puede ser todo iptables, tablas ip6 y
ebtables argumentos de la línea de comandos. Este comando no tiene seguimiento, lo que significa que firewalld
no puede proporcionar información sobre este comando más adelante, tampoco una lista de
los passthoughs sin seguimiento.
[--permanente] --directo --obtener-todos-los-pasos
Obtenga todas las reglas de paso a través como una lista separada por saltos de línea del valor y los argumentos de ipv.
[--permanente] --directo --get-transferencias { ipv4 | ipv6 | eb }
Obtenga todas las reglas de paso a través para el valor de ipv como una lista separada por saltos de línea del
prioridad y argumentos.
[--permanente] --directo --añadir-transferencia { ipv4 | ipv6 | eb } args
Agregue una regla de paso a través con los argumentos args para el valor de ipv.
[--permanente] --directo --remover-passthrough { ipv4 | ipv6 | eb } args
Eliminar una regla de paso a través con los argumentos args para el valor de ipv.
[--permanente] --directo --consulta-transferencia { ipv4 | ipv6 | eb } args
Devuelve si una regla de paso a través con los argumentos args existe para el valor de ipv.
Devuelve 0 si es verdadero, 1 en caso contrario.
Lockdown
Las aplicaciones o servicios locales pueden cambiar la configuración del cortafuegos si están
se ejecutan como root (ejemplo: libvirt) o se autentican mediante PolicyKit. Con esta característica
Los administradores pueden bloquear la configuración del cortafuegos para que solo las aplicaciones bloqueadas
la lista blanca puede solicitar cambios en el firewall.
La verificación de acceso de bloqueo limita los métodos de D-Bus que están cambiando las reglas del firewall. Consulta,
Los métodos list y get no están limitados.
La función de bloqueo es una versión muy ligera de las políticas de usuario y aplicación para
firewalld y está desactivado de forma predeterminada.
--bloqueo
Habilite el bloqueo. Tenga cuidado: si firewall-cmd no está en la lista blanca de bloqueo cuando
habilitar el bloqueo, no podrá deshabilitarlo nuevamente con firewall-cmd, lo haría
Necesito editar firewalld.conf.
Este es un tiempo de ejecución y un cambio permanente.
- bloqueo-apagado
Deshabilitar el bloqueo.
Este es un tiempo de ejecución y un cambio permanente.
--consulta-bloqueo
Consulta si el bloqueo está habilitado. Devuelve 0 si el bloqueo está habilitado, 1 en caso contrario.
Lockdown Lista blanca
La lista blanca de bloqueo puede contener comandos, contextos, usuarios y usuario ids.
Si una entrada de comando en la lista blanca termina con un asterisco '*', entonces todas las líneas de comando
comenzando con el comando coincidirá. Si el '*' no está ahí, el comando absoluto
los argumentos inclusivos deben coincidir.
Los comandos para el usuario root y otros no siempre son los mismos. Ejemplo: como root
/ bin / firewall-cmd se utiliza, como un usuario normal / usr / bin / firewall-cmd se utiliza en Fedora.
El contexto es el contexto de seguridad (SELinux) de una aplicación o servicio en ejecución. Llegar
el contexto del uso de una aplicación en ejecución ps -e --contexto.
Advertencia: Si el contexto es ilimitado, esto abrirá el acceso para más de la
aplicación deseada.
Las entradas de la lista blanca de bloqueo se verifican en el siguiente orden:
1. contexto
2. UID
3. usuario
4. comando
[--permanente] --list-lockdown-comandos-de-lista-blanca
Enumere todas las líneas de comando que están en la lista blanca.
[--permanente] --agregar-bloqueo-lista-blanca-comando=comando
Agregar el formulario comando a la lista blanca.
[--permanente] --remove-lockdown-whitelist-comando=comando
Eliminar el comando de la lista blanca.
[--permanente] --consulta-bloqueo-lista-blanca-comando=comando
Pregunte si el comando está en la lista blanca. Devuelve 0 si es verdadero, 1 en caso contrario.
[--permanente] --list-lockdown-lista-blanca-contextos
Enumere todos los contextos que están en la lista blanca.
[--permanente] --add-lockdown-whitelist-contexto=contexto
Agrega el contexto contexto a la lista blanca.
[--permanente] --eliminar-contexto-de-lista-blanca-de-bloqueo=contexto
Eliminar el contexto de la lista blanca.
[--permanente] --query-lockdown-lista blanca-contexto=contexto
Pregunte si el contexto está en la lista blanca. Devuelve 0 si es verdadero, 1 en caso contrario.
[--permanente] --list-lockdown-lista blanca-uids
Enumere todos los ID de usuario que están en la lista blanca.
[--permanente] --add-lockdown-lista blanca-uid=UID
Agregar la identificación de usuario UID a la lista blanca.
[--permanente] --remove-lockdown-lista blanca-uid=UID
Eliminar la identificación de usuario UID de la lista blanca.
[--permanente] --query-lockdown-lista blanca-uid=UID
Consultar si el ID de usuario UID está en la lista blanca. Devuelve 0 si es verdadero, 1 en caso contrario.
[--permanente] --list-lockdown-lista-blanca-usuarios
Enumere todos los nombres de usuario que están en la lista blanca.
[--permanente] --add-lockdown-lista blanca-usuario=usuario
Agregar el nombre de usuario usuario a la lista blanca.
[--permanente] --eliminar-usuario-de-lista-blanca-bloqueado=usuario
Eliminar el nombre de usuario usuario de la lista blanca.
[--permanente] --query-lockdown-lista blanca-usuario=usuario
Consultar si el nombre de usuario usuario está en la lista blanca. Devuelve 0 si es verdadero, 1 en caso contrario.
Pánico
- pánico
Habilita el modo de pánico. Todos los paquetes entrantes y salientes se descartan, conexiones activas
expirará. Habilite esto solo si hay problemas serios con su red
ambiente. Por ejemplo, si la máquina está siendo pirateada.
Este es un cambio solo en tiempo de ejecución.
-apagado del pánico
Desactiva el modo de pánico. Después de deshabilitar el modo de pánico, las conexiones establecidas pueden funcionar
nuevamente, si el modo de pánico se habilitó por un período corto de tiempo.
Este es un cambio solo en tiempo de ejecución.
- consulta-pánico
Devuelve 0 si el modo de pánico está habilitado, 1 en caso contrario.
EJEMPLOS
Para obtener más ejemplos, consulte http://fedoraproject.org/wiki/FirewallD
Ejemplo 1
Habilite el servicio http en la zona predeterminada. Este es solo un cambio de tiempo de ejecución, es decir, efectivo hasta
reinicie.
firewall-cmd --add-service = http
Ejemplo 2
Habilite el puerto 443 / tcp de forma inmediata y permanente en la zona predeterminada. Para hacer el cambio
efectivo inmediatamente y también después de reiniciar necesitamos dos comandos. El primer comando hace
el cambio en la configuración del tiempo de ejecución, es decir, lo hace efectivo inmediatamente, hasta que se reinicia.
El segundo comando realiza el cambio en configuración permanente, es decir, lo hace efectivo
después de reiniciar.
firewall-cmd --add-port = 443 / tcp
firewall-cmd --permanent --add-port = 443 / tcp
SALIR Codigos
En caso de éxito, se devuelve 0. En caso de falla, la salida es de color rojo y el código de salida es 2
en caso de uso incorrecto de la opción de línea de comandos o uno de los siguientes códigos de error en otro
casos:
┌────────────────────┬──────┐
│Cordón │ Código │
├────────────────────┼──────┤
│YA_HABILITADO │ 11 │
├────────────────────┼──────┤
│NO_HABILITADO │ 12 │
├────────────────────┼──────┤
│COMANDO_FALLIDO │ 13 │
├────────────────────┼──────┤
│NO_IPV6_NAT │ 14 │
├────────────────────┼──────┤
│MODO_PÁNICO │ 15 │
├────────────────────┼──────┤
│ZONE_YA_SET │ 16 │
├────────────────────┼──────┤
│INTERFAZ_DESCONOCIDA │ 17 │
├────────────────────┼──────┤
│ZONA_CONFLICTO │ 18 │
├────────────────────┼──────┤
│BUILTIN_CHAIN │ 19 │
├────────────────────┼──────┤
│EBTABLES_NO_REJECT │ 20 │
├────────────────────┼──────┤
│NO_OVERLOADABLE │ 21 │
├────────────────────┼──────┤
│SIN_DEFAULTS │ 22 │
├────────────────────┼──────┤
│BUILTIN_ZONE │ 23 │
├────────────────────┼──────┤
│SERVICIO_INTEGRADO │ 24 │
├────────────────────┼──────┤
│BUILTIN_ICMPTYPE │ 25 │
├────────────────────┼──────┤
│NOMBRE_CONFLICTO │ 26 │
├────────────────────┼──────┤
│NOMBRE_MISMATCH │ 27 │
├────────────────────┼──────┤
│PARSE_ERROR │ 28 │
├────────────────────┼──────┤
│ACCESO_DENEGADO │ 29 │
├────────────────────┼──────┤
│FUENTE_DESCONOCIDA │ 30 │
├────────────────────┼──────┤
│RT_TO_PERM_FAILED │ 31 │
├────────────────────┼──────┤
│IPSET_CON_TIEMPO ESPERA │ 32 │
├────────────────────┼──────┤
│BUILTIN_IPSET │ 33 │
├────────────────────┼──────┤
│YA_FIJADO │ 34 │
├────────────────────┼──────┤
│ACCIÓN_INVÁLIDA │ 100 │
├────────────────────┼──────┤
│SERVICIO_INVÁLIDO │ 101 │
├────────────────────┼──────┤
│PUERTO_NO VÁLIDO │ 102 │
├────────────────────┼──────┤
│PROTOCOLO_INVALID │ 103 │
├────────────────────┼──────┤
│INTERFAZ_INVÁLIDA │ 104 │
├────────────────────┼──────┤
│DIRECCIÓN_NO VÁLIDA │ 105 │
├────────────────────┼──────┤
│INVÁLIDO_REENVÍO │ 106 │
├────────────────────┼──────┤
│INVALID_ICMPTYPE │ 107 │
├────────────────────┼──────┤
│TABLE_INVALID │ 108 │
├────────────────────┼──────┤
│INVALID_CHAIN │ 109 │
├────────────────────┼──────┤
│OBJETIVO_NO VÁLIDO │ 110 │
├────────────────────┼──────┤
│INVÁLIDO_IPV │ 111 │
├────────────────────┼──────┤
│ZONA_NO VÁLIDA │ 112 │
├────────────────────┼──────┤
│PROPIEDAD_INVALID │ 113 │
├────────────────────┼──────┤
│VALOR_INVALIDO │ 114 │
├────────────────────┼──────┤
│OBJETO_NO VÁLIDO │ 115 │
├────────────────────┼──────┤
│NOMBRE_NO VÁLIDO │ 116 │
├────────────────────┼──────┤
│ NOMBRE DE ARCHIVO NO VÁLIDO │ 117 │
├────────────────────┼──────┤
│ DIRECTORIO_INVALIDO │ 118 │
├────────────────────┼──────┤
│TIPO_NO VÁLIDO │ 119 │
├────────────────────┼──────┤
│AJUSTE_NO VÁLIDO │ 120 │
├────────────────────┼──────┤
│DESTINO_INVALID │ 121 │
├────────────────────┼──────┤
│ REGLA_INVALIDA │ 122 │
├────────────────────┼──────┤
│LÍMITE_INVÁLIDO │ 123 │
├────────────────────┼──────┤
│FAMILIA_INVALID │ 124 │
├────────────────────┼──────┤
│INVALID_LOG_LEVEL │ 125 │
├────────────────────┼──────┤
│INVALID_AUDIT_TYPE │ 126 │
├────────────────────┼──────┤
│INVALID_MARK │ 127 │
├────────────────────┼──────┤
│CONTEXTO_INVÁLIDO │ 128 │
├────────────────────┼──────┤
│COMANDO_INVÁLIDO │ 129 │
├────────────────────┼──────┤
│USUARIO_NO VÁLIDO │ 130 │
├────────────────────┼──────┤
│UID_INVÁLIDO │ 131 │
├────────────────────┼──────┤
│MODULO_INVALID │ 132 │
├────────────────────┼──────┤
│PASO_INVÁLIDO │ 133 │
├────────────────────┼──────┤
│INVÁLIDO_MAC │ 134 │
├────────────────────┼──────┤
│IPSET_INVÁLIDO │ 135 │
├────────────────────┼──────┤
│ENTRADA_NO VÁLIDA │ 136 │
├────────────────────┼──────┤
│OPCIÓN_NO VÁLIDA │ 137 │
├────────────────────┼──────┤
│FALTA_TABLA │ 200 │
├────────────────────┼──────┤
│MISSING_CHAIN │ 201 │
├────────────────────┼──────┤
│FALTA_PUERTO │ 202 │
├────────────────────┼──────┤
│PROTOCOLO_MISSING │ 203 │
├────────────────────┼──────┤
│FALTA_DIRECCIÓN │ 204 │
├────────────────────┼──────┤
│FALTA_NOMBRE │ 205 │
├────────────────────┼──────┤
│FALTA_CONFIGURACIÓN │ 206 │
├────────────────────┼──────┤
│FAMILIA_PERDIDA │ 207 │
├────────────────────┼──────┤
│NO_FUNCIONA │ 252 │
├────────────────────┼──────┤
│NO AUTORIZADO │ 253 │
├────────────────────┼──────┤
│ ERROR_UNKNOWN │ 254 │
└────────────────────┴──────┘
Use firewall-cmd en línea usando los servicios de onworks.net
