Este es el comando firewall-offline-cmd que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
firewall-offline-cmd - cliente de línea de comandos fuera de línea firewalld
SINOPSIS
cortafuegos-offline-cmd [OPCIONES ...]
DESCRIPCIÓN
firewall-offline-cmd es un cliente de línea de comandos fuera de línea del demonio firewalld. Debería
sólo se utilizará si el servicio firewalld no se está ejecutando. Por ejemplo para migrar desde
system-config-firewall / lokkit o en el entorno de instalación para configurar los ajustes del firewall
con kickstart.
Algunas opciones de lokkit no se pueden convertir automáticamente para firewalld, darán como resultado
un mensaje de error o advertencia. Esta herramienta intenta convertir tanto como sea posible, pero hay
limitaciones, por ejemplo, con reglas personalizadas, módulos y enmascaramiento.
Verifique la configuración del firewall después de usar esta herramienta.
CAMPUS
Si no se dan opciones, la configuración desde / etc / sysconfig / system-config-firewall se mostrarán
migrado.
Se admiten las siguientes opciones:
Ayuda Opciones
-h, --ayuda
Imprime un breve texto de ayuda y existe.
Estado Opciones
--activado
Habilite el firewall. Esta opción es una opción predeterminada y activará el firewall si
aún no habilitado siempre que la opción --discapacitado no se da.
--discapacitado
Desactive el cortafuegos desactivando el servicio firewalld.
lokkit Compatibilidad Opciones
Estas opciones son casi idénticas a las opciones de lok kit.
--addmodule=módulo
Esta opción dará como resultado un mensaje de advertencia y se ignorará.
El manejo de los ayudantes de netfilter se ha fusionado por completo con los servicios. Añadiendo o
Por lo tanto, ya no es necesario eliminar los ayudantes de netfilter fuera de los servicios. Para
más información sobre el manejo de los ayudantes de netfilter en los servicios, por favor eche un vistazo a
firewalld.zona(5).
--removemodule
Esta opción dará como resultado un mensaje de advertencia y se ignorará.
El manejo de los ayudantes de netfilter se ha fusionado por completo con los servicios. Añadiendo o
Por lo tanto, ya no es necesario eliminar los ayudantes de netfilter fuera de los servicios. Para
más información sobre el manejo de los ayudantes de netfilter en los servicios, por favor eche un vistazo a
firewalld.zona(5).
--eliminar servicio=de coches
Eliminar un servicio de la zona predeterminada. Esta opción se puede especificar varias veces.
El servicio es uno de los servicios proporcionados por firewalld. Para obtener una lista de los
servicios, uso cortafuegos-cmd --obtener-servicios.
-s de coches, --Servicio=de coches
Agregue un servicio a la zona predeterminada. Esta opción se puede especificar varias veces.
El servicio es uno de los servicios proporcionados por firewalld. Para obtener una lista de los
servicios, uso cortafuegos-cmd --obtener-servicios.
-p portido[-portido]:protocolo, --Puerto=portido[-portido]:protocolo
Agregue el puerto a la zona predeterminada. Esta opción se puede especificar varias veces.
El puerto puede ser un número de puerto único o un rango de puertos portido-portido.
el protocolo puede ser tcp or udp.
-t interfaz., --confianza=interfaz.
Esta opción dará como resultado un mensaje de advertencia.
Marque una interfaz como confiable. Esta opción se puede especificar varias veces. los
La interfaz estará vinculada a la zona de confianza.
Si la interfaz se utiliza en una conexión administrada por NetworkManager o si hay una
ifcfg para esta interfaz, la zona se cambiará a la zona definida en el
configuración tan pronto como se active. Para cambiar la zona de un uso de conexión
editor-de-conexión-nm y configure la zona en confiable, para un archivo ifcfg, use un editor y
agregue "ZONA = confiable". Si la zona no está definida en el archivo ifcfg, el firewalld
se utilizará la zona predeterminada.
-m interfaz., --masq=interfaz.
Esta opción dará como resultado un mensaje de advertencia.
El enmascaramiento se habilitará en la zona predeterminada. El argumento de la interfaz será
ignorado. Esto es para IPv4 solamente.
--reglas-personalizadas=[tipo:] [mesa:]nombre de archivo
Esta opción dará como resultado un mensaje de advertencia y se ignorará.
Firewalld no admite archivos de reglas personalizadas.
--puerto de reenvío= si =interfaz.: puerto =Puerto: proto =protocolo[: toport =destino
Puerto:] [: toaddr =destino dirección]
Esta opción dará como resultado un mensaje de advertencia.
Agregue la IPv4 puerto de reenvío en la zona predeterminada. Esta opción se puede especificar varias
veces.
El puerto puede ser un solo número de puerto portido o un rango de puertos portido-portido.
el protocolo puede ser tcp or udp. La dirección de destino es una dirección IP.
--bloque-icmp=icmptipo
Esta opción dará como resultado un mensaje de advertencia.
Agregue un bloque ICMP para icmptipo en la zona predeterminada. Esta opción se puede especificar
varias veces.
El icmptipo es uno de los tipos de icmp que admite firewalld. Para obtener una lista de
tipos de icmp admitidos: cortafuegos-cmd --get-tipos-icmp
Zona Opciones
--get-default-zone
Imprime la zona predeterminada para conexiones e interfaces.
--establecer-zona-predeterminada=zona
Establezca la zona predeterminada para las conexiones y las interfaces donde no se ha seleccionado ninguna zona.
La configuración de la zona predeterminada cambia la zona para las conexiones o interfaces, que son
utilizando la zona predeterminada.
--obtener-zonas
Imprima zonas predefinidas como una lista separada por espacios.
--obtener-servicios
Imprima servicios predefinidos como una lista separada por espacios.
--get-tipos-icmp
Imprima icmptypes predefinidos como una lista separada por espacios.
--obtener-zona-de-interfaz=interfaz.
Imprima el nombre de la zona interfaz. está vinculado ao no zona.
--get-zona-de-fuente=fuente[/máscara]
Imprima el nombre de la zona fuente[/máscara] está vinculado ao no zona.
--info-zone =zona
Imprimir información sobre la zona zona. El formato de salida es:
zona
interfaces: interfaz1 ..
fuentes: source1 ..
servicios: service1 ..
puertos: port1 ..
protocolos: protocolo1 ..
puertos de reenvío:
puerto de reenvío1
..
icmp-blocks: icmp-tipo1 ..
ricas reglas:
rica-regla1
..
--lista-todas-las-zonas
Enumere todo lo agregado o habilitado en todas las zonas. El formato de salida es:
zone1
interfaces: interfaz1 ..
fuentes: source1 ..
servicios: service1 ..
puertos: port1 ..
protocolos: protocolo1 ..
puertos de reenvío:
puerto de reenvío1
..
icmp-blocks: icmp-tipo1 ..
ricas reglas:
rica-regla1
..
..
- nueva zona=zona
Agrega una nueva zona permanente.
--delete-zona=zona
Eliminar una zona permanente existente.
--zona=zona --obtener-objetivo
Consigue el objetivo de una zona permanente.
--zona=zona --Poner un objectivo=zona
Establece el objetivo de una zona permanente.
Opciones a Adaptar y Consulta Zonas
Las opciones de esta sección afectan solo a una zona en particular. Si se usa con --zona=zona opción,
afectan la zona zona. Si se omite la opción, afectan a la zona predeterminada (ver
--get-default-zone).
[--zona=zona] --Listar todo
Enumere todo lo que se agregó o habilitó en zona. Si se omite la zona, la zona predeterminada será
usado.
[--zona=zona] - lista-servicios
Listar servicios agregados para zona como una lista separada por espacios. Si se omite la zona, por defecto
se utilizará la zona.
[--zona=zona] --agregar servicio=de coches
Agregar un servicio para zona. Si se omite la zona, se utilizará la zona predeterminada. Esta opción puede
ser especificado varias veces.
El servicio es uno de los servicios proporcionados por firewalld. Para obtener una lista de los
servicios, uso cortafuegos-cmd --obtener-servicios.
[--zona=zona] --eliminar-servicio-de-zona=de coches
Eliminar un servicio de zona. Esta opción se puede especificar varias veces. Si la zona es
omitido, se utilizará la zona predeterminada.
[--zona=zona] --servicio de consulta=de coches
Devolver si de coches ha sido agregado para zona. Si se omite la zona, la zona predeterminada
ser usado. Devuelve 0 si es verdadero, 1 en caso contrario.
[--zona=zona] --lista-puertos
Lista de puertos agregados para zona como una lista separada por espacios. Un puerto tiene la forma
portido[-portido]/protocolo, puede ser un puerto y un par de protocolo o un rango de puertos
con un protocolo. Si se omite la zona, se utilizará la zona predeterminada.
[--zona=zona] --añadir-puerto=portido[-portido]/protocolo
Agregue el puerto para zona. Si se omite la zona, se utilizará la zona predeterminada. Esta opción puede
ser especificado varias veces.
El puerto puede ser un número de puerto único o un rango de puertos portido-portido.
el protocolo puede ser tcp or udp.
[--zona=zona] --quitar-puerto=portido[-portido]/protocolo
Quite el puerto de zona. Si se omite la zona, se utilizará la zona predeterminada. Esta opción
se puede especificar varias veces.
[--zona=zona] --Puerto de consulta=portido[-portido]/protocolo
Devuelve si el puerto se ha agregado para zona. Si se omite la zona, la zona predeterminada
ser usado. Devuelve 0 si es verdadero, 1 en caso contrario.
[--zona=zona] --lista-protocolos
Lista de protocolos agregados para zona como una lista separada por espacios. Si se omite la zona, por defecto
se utilizará la zona.
[--zona=zona] --agregar-protocolo=protocolo
Agregue el protocolo para zona. Si se omite la zona, se utilizará la zona predeterminada. Esta opción
se puede especificar varias veces. Si se proporciona un tiempo de espera, la regla estará activa durante
la cantidad de tiempo especificada y se eliminará automáticamente después. tiempo is
ya sea un número (de segundos) o un número seguido de uno de los caracteres s (segundos), m
(minutos), h (horas), por ejemplo 20m or 1h.
El protocolo puede ser cualquier protocolo admitido por el sistema. Por favor eche un vistazo a
/ etc / protocolos para protocolos compatibles.
[--zona=zona] --remove-protcol=protocolo
Eliminar el protocolo de zona. Si se omite la zona, se utilizará la zona predeterminada. Esta
La opción se puede especificar varias veces.
[--zona=zona] --protocolo de consulta=protocolo
Devuelve si el protocolo se ha agregado para zona. Si se omite la zona, la zona predeterminada
se utilizará. Devuelve 0 si es verdadero, 1 en caso contrario.
[--zona=zona] --list-icmp-bloques
Enumere los bloques de tipo Protocolo de mensajes de control de Internet (ICMP) agregados para zona como un espacio
lista separada. Si se omite la zona, se utilizará la zona predeterminada.
[--zona=zona] --add-icmp-bloque=icmptipo
Agregue un bloque ICMP para icmptipo para zona. Si se omite la zona, la zona predeterminada será
usó. Esta opción se puede especificar varias veces.
El icmptipo es uno de los tipos de icmp que admite firewalld. Para obtener una lista de
tipos de icmp admitidos: cortafuegos-cmd --get-tipos-icmp
[--zona=zona] --remove-icmp-bloque=icmptipo
Quite el bloque ICMP para icmptipo en zona. Si se omite la zona, la zona predeterminada será
usó. Esta opción se puede especificar varias veces.
[--zona=zona] --query-icmp-bloque=icmptipo
Devuelve si un bloque ICMP para icmptipo ha sido agregado para zona. Si se omite la zona,
se utilizará la zona predeterminada. Devuelve 0 si es verdadero, 1 en caso contrario.
[--zona=zona] --list-forward-ports
Lista IPv4 puertos de reenvío agregados para zona como una lista separada por espacios. Si se omite la zona,
se utilizará la zona predeterminada.
IPv6 puertos de reenvío, utilice el lenguaje enriquecido.
[--zona=zona]
--añadir-reenviar-puerto= puerto =portido[-portido]: proto =protocolo[: toport =portido[-portido]] [: toaddr =dirección[/máscara]]
Agregue la IPv4 puerto de reenvío para zona. Si se omite la zona, se utilizará la zona predeterminada.
Esta opción se puede especificar varias veces.
El puerto puede ser un solo número de puerto portido o un rango de puertos portido-portido.
el protocolo puede ser tcp or udp. La dirección de destino es una dirección IP simple.
IPv6 puertos de reenvío, utilice el lenguaje enriquecido.
[--zona=zona]
--eliminar-puerto-adelante= puerto =portido[-portido]: proto =protocolo[: toport =portido[-portido]] [: toaddr =dirección[/máscara]]
Eliminar el IPv4 puerto de reenvío desde zona. Si se omite la zona, se utilizará la zona predeterminada.
Esta opción se puede especificar varias veces.
IPv6 puertos de reenvío, utilice el lenguaje enriquecido.
[--zona=zona]
--query-forward-puerto= puerto =portido[-portido]: proto =protocolo[: toport =portido[-portido]] [: toaddr =dirección[/máscara]]
Devolver si el IPv4 Se ha agregado el puerto de reenvío para zona. Si se omite la zona,
se utilizará la zona predeterminada. Devuelve 0 si es verdadero, 1 en caso contrario.
IPv6 puertos de reenvío, utilice el lenguaje enriquecido.
[--zona=zona] --añadir-mascarada
permitir IPv4 mascarada para zona. Si se omite la zona, se utilizará la zona predeterminada.
El enmascaramiento es útil si la máquina es un enrutador y las máquinas están conectadas
La interfaz en otra zona debería poder utilizar la primera conexión.
IPv6 enmascarado, utilice el lenguaje enriquecido.
[--zona=zona] - quitar-mascarada
Deshabilitar IPv4 mascarada para zona. Si se omite la zona, se utilizará la zona predeterminada.
IPv6 enmascarado, utilice el lenguaje enriquecido.
[--zona=zona] --consulta-mascarada
Devolver si IPv4 el enmascaramiento se ha habilitado para zona. Si se omite la zona,
se utilizará la zona predeterminada. Devuelve 0 si es verdadero, 1 en caso contrario.
IPv6 enmascarado, utilice el lenguaje enriquecido.
[--zona=zona] --list-rich-regles
Enumere las reglas de lenguaje enriquecido agregadas para zona como una lista separada por saltos de línea. Si la zona es
omitido, se utilizará la zona predeterminada.
[--zona=zona] --añadir-regla-enriquecida='gobernar'
Agregar regla de lenguaje enriquecido 'gobernar' para zona. Esta opción se puede especificar varias veces.
Si se omite la zona, se utilizará la zona predeterminada.
Para conocer la sintaxis de las reglas del lenguaje enriquecido, eche un vistazo a cortafuegosd.richlanguage(5).
[--zona=zona] --remove-rich-regla='gobernar'
Eliminar la regla de lenguaje enriquecido 'gobernar' desde zona. Esta opción se puede especificar varias
veces. Si se omite la zona, se utilizará la zona predeterminada.
Para conocer la sintaxis de las reglas del lenguaje enriquecido, eche un vistazo a cortafuegosd.richlanguage(5).
[--zona=zona] --query-rich-regla='gobernar'
Devuelve si una regla de lenguaje enriquecido 'gobernar'ha sido añadido para zona. Si la zona es
omitido, se utilizará la zona predeterminada. Devuelve 0 si es verdadero, 1 en caso contrario.
Para conocer la sintaxis de las reglas del lenguaje enriquecido, eche un vistazo a cortafuegosd.richlanguage(5).
Opciones a Handle encuadernaciones of Interfaces
Vincular una interfaz a una zona significa que la configuración de esta zona se utiliza para restringir el tráfico.
a través de la interfaz.
Las opciones de esta sección afectan solo a una zona en particular. Si se usa con --zona=zona opción,
afectan la zona zona. Si se omite la opción, afectan a la zona predeterminada (ver
--get-default-zone).
Para obtener una lista de zonas predefinidas, utilice cortafuegos-cmd --obtener-zonas.
Un nombre de interfaz es una cadena de hasta 16 caracteres que no puede contener ' ', "/", '!'
y '*'.
[--zona=zona] --lista-interfaces
Enumere las interfaces que están vinculadas a la zona zona como una lista separada por espacios. Si la zona es
omitido, se utilizará la zona predeterminada.
[--zona=zona] --add-interfaz=interfaz.
Vincular interfaz interfaz. a la zona zona. Si se omite la zona, se utilizará la zona predeterminada.
[--zona=zona] --cambio de interfaz=interfaz.
Cambiar zona la interfaz interfaz. está vinculado a la zona zona. Si se omite la zona,
se utilizará la zona predeterminada. Si la zona antigua y la nueva son iguales, la llamada se ignorará
sin error. Si la interfaz no se ha vinculado a una zona antes, se comportará
como --add-interfaz.
[--zona=zona] --interfaz de consulta=interfaz.
Consultar si la interfaz interfaz. está vinculado a la zona zona. Devuelve 0 si es verdadero, 1
de otra manera.
[--zona=zona] --remove-interfaz=interfaz.
Eliminar enlace de interfaz interfaz. de la zona zona. Si se omite la zona, la zona predeterminada
se utilizará.
Opciones a Handle encuadernaciones of Fuentes
Vincular una fuente a una zona significa que la configuración de esta zona se utilizará para restringir el tráfico
de esta fuente.
Una dirección de origen o un rango de direcciones es una dirección IP o una dirección IP de red con un
máscara para IPv4 o IPv6 o una dirección MAC (sin máscara). Para IPv4, la máscara puede ser una máscara de red.
o un simple número. Para IPv6, la máscara es un número simple. El uso de nombres de host no es
soportado.
Las opciones de esta sección afectan solo a una zona en particular. Si se usa con --zona=zona opción,
afectan la zona zona. Si se omite la opción, afectan a la zona predeterminada (ver
--get-default-zone).
Para obtener una lista de zonas predefinidas, utilice cortafuegos-cmd --obtener-zonas.
[--zona=zona] --lista-fuentes
Enumere las fuentes que están vinculadas a la zona zona como una lista separada por espacios. Si la zona es
omitido, se utilizará la zona predeterminada.
[--zona=zona] --Agregue una fuente=fuente[/máscara]
Vincular fuente fuente[/máscara] a la zona zona. Si se omite la zona, se utilizará la zona predeterminada.
[--zona=zona] --cambiar-fuente=fuente[/máscara]
Cambiar zona la fuente fuente[/máscara] está vinculado a la zona zona. Si se omite la zona,
se utilizará la zona predeterminada. Si la zona antigua y la nueva son iguales, la llamada se ignorará
sin error. Si la fuente no se ha vinculado a una zona antes, se comportará
como --Agregue una fuente.
[--zona=zona] --fuente de consulta=fuente[/máscara]
Consulta si la fuente fuente[/máscara] está vinculado a la zona zona. Devuelve 0 si es verdadero, 1
de otra manera.
[--zona=zona] --remove-fuente=fuente[/máscara]
Eliminar la unión de la fuente fuente[/máscara] de la zona zona. Si se omite la zona, predeterminado
se utilizará la zona.
Conjunto IP Opciones
--nuevo-ipset=conjunto de ips --escribe=conjunto de ips tipo [--opción=conjunto de ips opción[=propuesta de]]
Agregue un nuevo ipset permanente especificando el tipo y las opciones opcionales.
--eliminar-ipset=conjunto de ips
Elimina un ipset permanente existente.
--info-ipset =conjunto de ips
Imprimir información sobre ipset conjunto de ips. El formato de salida es:
conjunto de ips
tipo: tipo
opciones: opción1 [= valor1] ..
entradas: entrada1 ..
--get-ipsets
Imprima ipsets predefinidos como una lista separada por espacios.
--ipset=conjunto de ips --Añadir entrada=entrada
Agregue una nueva entrada al ipset.
--ipset=conjunto de ips --elimine la entrada=entrada
Elimina una entrada del ipset.
--ipset=conjunto de ips - entrada de consulta=entrada
Devuelve si la entrada se ha agregado a un ipset. Devuelve 0 si es verdadero, 1 en caso contrario.
--ipset=conjunto de ips --obtener-entradas
Enumere todas las entradas del ipset.
Service Opciones
--info-service =de coches
Imprimir información sobre el servicio de coches. El formato de salida es:
de coches
puertos: port1 ..
protocolos: protocolo1 ..
módulos: módulo1 ..
destino: ipv1:address1 ..
--nuevo-servicio=de coches
Agregue un nuevo servicio permanente.
--borrar-servicio=de coches
Eliminar un servicio permanente existente.
--Servicio=de coches --añadir-puerto=portido[-portido]/protocolo
Agregue un nuevo puerto al servicio permanente.
--Servicio=de coches --quitar-puerto=portido[-portido]/protocolo
Eliminar un puerto del servicio permanente.
--Servicio=de coches --Puerto de consulta=portido[-portido]/protocolo
Regrese si el puerto se ha agregado al servicio permanente.
--Servicio=de coches --get-puertos
Enumere los puertos agregados al servicio permanente.
--Servicio=de coches --agregar-protocolo=protocolo
Agregue un nuevo protocolo al servicio permanente.
--Servicio=de coches --remove-protocolo=protocolo
Eliminar un protocolo del servicio permanente.
--Servicio=de coches --protocolo de consulta=protocolo
Regrese si el protocolo se ha agregado al servicio permanente.
--Servicio=de coches --obtener-protocolos
Enumere los protocolos agregados al servicio permanente.
--Servicio=de coches --add-módulo=módulo
Agregue un nuevo módulo al servicio permanente.
--Servicio=de coches --quitar-módulo=módulo
Retirar un módulo del servicio permanente.
--Servicio=de coches - módulo de consulta=módulo
Regrese si el módulo se ha agregado al servicio permanente.
--Servicio=de coches --get-módulos
Enumere los módulos agregados al servicio permanente.
--Servicio=de coches --add-destino=En lugar de :dirección[/máscara]
Establezca el destino para ipv en la dirección [/ máscara] en el servicio permanente.
--Servicio=de coches --eliminar destino=En lugar de
Elimine el destino de ipv del servicio permanente.
--Servicio=de coches --consulta-destino=En lugar de :dirección[/máscara]
Regrese si el ipv de destino a la dirección [/ máscara] se ha configurado en el
.
--Servicio=de coches --obtener-destinos
Enumere los destinos agregados al servicio permanente.
Internet Control Mensaje Protocolo (ICMP) tipo Opciones
--info-icmptype =icmptipo
Imprimir información sobre icmptype icmptipo. El formato de salida es:
icmptipo
destino: ipv1 ..
--nuevo-tipo-icmp=icmptipo
Agregue un nuevo tipo de icmp permanente.
--delete-icmptipo=icmptipo
Elimina un icmptype permanente existente.
--icmptipo=icmptipo --add-destino=En lugar de
Habilite el destino para ipv en icmptype permanente. ipv es uno de ipv4 or ipv6.
--icmptipo=icmptipo --eliminar destino=En lugar de
Deshabilite el destino para ipv en icmptype permanente. ipv es uno de ipv4 or ipv6.
--icmptipo=icmptipo --consulta-destino=En lugar de
Devuelve si el destino para ipv está habilitado en icmptype permanente. ipv es uno de
ipv4 or ipv6.
--icmptipo=icmptipo --obtener-destinos
Enumere los destinos en icmptype permanente.
Directo Opciones
Las opciones directas dan un acceso más directo al cortafuegos. Estas opciones requieren que el usuario
conocer conceptos básicos de iptables, es decir mesa (filtro / mangle / nat / ...), cadena
(ENTRADA / SALIDA / AVANCE / ...), comandos (-A / -D / -I / ...), parámetros (-p / -s / -d / -j / ...) y
tiene como objetivo (ACEPTAR / SOLTAR / RECHAZAR / ...).
Las opciones directas deben usarse solo como último recurso cuando no es posible usarlas para
ejemplo --agregar servicio=de coches or --añadir-regla-enriquecida='gobernar'.
El primer argumento de cada opción debe ser ipv4 or ipv6 or eb. Con ipv4 será para
IPv4 (iptables(8)), con ipv6 para IPv6 (tablas ip6(8)) y con eb para puentes ethernet
(ebtables(8)).
--directo --obtener-todas-cadenas
Obtenga todas las cadenas agregadas a todas las tablas.
Esta opción se refiere solo a las cadenas agregadas previamente con --directo --add-cadena.
--directo --obtener cadenas { ipv4 | ipv6 | eb } mesa
Obtenga todas las cadenas agregadas a la mesa mesa como una lista separada por espacios.
Esta opción se refiere solo a las cadenas agregadas previamente con --directo --add-cadena.
--directo --add-cadena { ipv4 | ipv6 | eb } mesa cadena
Agregar una nueva cadena con nombre cadena a la mesa mesa.
Ya existen cadenas básicas para usar con opciones directas, por ejemplo ENTRADA_directa
cadena (ver iptables-guardar | grep de reservas salida para todos ellos). Estas cadenas son
saltó antes de las cadenas para las zonas, es decir, cada regla puesta en ENTRADA_directa se mostrarán
comprobado antes de las reglas en las zonas.
--directo - quitar-cadena { ipv4 | ipv6 | eb } mesa cadena
Quita la cadena con nombre cadena de la mesa mesa.
--directo --consulta-cadena { ipv4 | ipv6 | eb } mesa cadena
Devuelve si una cadena con nombre cadena existe en la mesa mesa. Devuelve 0 si es verdadero, 1
de otra manera.
Esta opción se refiere solo a las cadenas agregadas previamente con --directo --add-cadena.
--directo --obtener-todas-las-reglas
Obtenga todas las reglas agregadas a todas las cadenas en todas las tablas como una lista separada por una nueva línea de la
prioridad y argumentos.
--directo --obtener-reglas { ipv4 | ipv6 | eb } mesa cadena
Obtener todas las reglas agregadas a la cadena cadena en mesa mesa como una lista separada por una nueva línea de
prioridad y argumentos.
--directo --añadir-regla { ipv4 | ipv6 | eb } mesa cadena lista de prioridades args
Agrega una regla con los argumentos args encadenar cadena en mesa mesa con prioridad
lista de prioridades.
El lista de prioridades se utiliza para ordenar reglas. Prioridad 0 significa agregar una regla en la parte superior de la cadena,
con una prioridad más alta, la regla se agregará más abajo. Reglas con el mismo
prioridad están en el mismo nivel y el orden de estas reglas no es fijo y puede
cambio. Si desea asegurarse de que se agregará una regla después de otra, utilice un
prioridad baja para el primero y mayor para los siguientes.
--directo --quitar-regla { ipv4 | ipv6 | eb } mesa cadena lista de prioridades args
Eliminar una regla con lista de prioridades y los argumentos args de la cadena cadena en mesa mesa.
--directo - eliminar-reglas { ipv4 | ipv6 | eb } mesa cadena
Eliminar todas las reglas de la cadena con nombre cadena existe en la mesa mesa.
Esta opción se refiere solo a las reglas agregadas previamente con --directo --añadir-regla en este
cadena.
--directo --regla-consulta { ipv4 | ipv6 | eb } mesa cadena lista de prioridades args
Devuelve si una regla con lista de prioridades y los argumentos args existe en cadena cadena in
mesa mesa. Devuelve 0 si es verdadero, 1 en caso contrario.
--directo --obtener-todos-los-pasos
Obtenga todo el paso a través permanente como una lista separada por una nueva línea del valor de ipv y
argumentos
--directo --get-transferencias { ipv4 | ipv6 | eb }
Obtenga todas las reglas de paso permanente para el valor de ipv como una lista de líneas separadas de
la prioridad y los argumentos.
--directo --añadir-transferencia { ipv4 | ipv6 | eb } args
Agregue una regla de paso permanente con los argumentos args para el valor de ipv.
--directo --remover-passthrough { ipv4 | ipv6 | eb } args
Eliminar una regla de traspaso permanente con los argumentos args para el valor de ipv.
--directo --consulta-transferencia { ipv4 | ipv6 | eb } args
Devuelve si una regla de paso permanente con los argumentos args existe para la ipv
valor. Devuelve 0 si es verdadero, 1 en caso contrario.
Lockdown Opciones
Las aplicaciones o servicios locales pueden cambiar la configuración del cortafuegos si están
se ejecutan como root (ejemplo: libvirt) o se autentican mediante PolicyKit. Con esta característica
Los administradores pueden bloquear la configuración del cortafuegos para que solo las aplicaciones bloqueadas
la lista blanca puede solicitar cambios en el firewall.
La verificación de acceso de bloqueo limita los métodos de D-Bus que están cambiando las reglas del firewall. Consulta,
Los métodos list y get no están limitados.
La función de bloqueo es una versión muy ligera de las políticas de usuario y aplicación para
firewalld y está desactivado de forma predeterminada.
--bloqueo
Habilite el bloqueo. Tenga cuidado: si firewall-cmd no está en la lista blanca de bloqueo cuando
habilitar el bloqueo, no podrá deshabilitarlo nuevamente con firewall-cmd, lo haría
Necesito editar firewalld.conf.
- bloqueo-apagado
Deshabilitar el bloqueo.
--consulta-bloqueo
Consulta si el bloqueo está habilitado. Devuelve 0 si el bloqueo está habilitado, 1 en caso contrario.
Lockdown Lista blanca Opciones
La lista blanca de bloqueo puede contener comandos, contextos, usuarios y usuario ids.
Si una entrada de comando en la lista blanca termina con un asterisco '*', entonces todas las líneas de comando
comenzando con el comando coincidirá. Si el '*' no está ahí, el comando absoluto
los argumentos inclusivos deben coincidir.
Los comandos para el usuario root y otros no siempre son los mismos. Ejemplo: como root
/ bin / firewall-cmd se utiliza, como un usuario normal / usr / bin / firewall-cmd se utiliza en Fedora.
El contexto es el contexto de seguridad (SELinux) de una aplicación o servicio en ejecución. Llegar
el contexto del uso de una aplicación en ejecución ps -e --contexto.
Advertencia: Si el contexto es ilimitado, esto abrirá el acceso para más de la
aplicación deseada.
Las entradas de la lista blanca de bloqueo se verifican en el siguiente orden:
1. contexto
2. UID
3. usuario
4. comando
--list-lockdown-comandos-de-lista-blanca
Enumere todas las líneas de comando que están en la lista blanca.
--agregar-bloqueo-lista-blanca-comando=comando
Agregue la comando a la lista blanca.
--remove-lockdown-whitelist-comando=comando
Eliminar el comando de la lista blanca.
--consulta-bloqueo-lista-blanca-comando=comando
Pregunte si el comando está en la lista blanca. Devuelve 0 si es verdadero, 1 en caso contrario.
--list-lockdown-lista-blanca-contextos
Enumere todos los contextos que están en la lista blanca.
--add-lockdown-whitelist-contexto=contexto
Agrega el contexto contexto a la lista blanca.
--eliminar-contexto-de-lista-blanca-de-bloqueo=contexto
Eliminar el contexto de la lista blanca.
--query-lockdown-lista blanca-contexto=contexto
Pregunte si el contexto está en la lista blanca. Devuelve 0 si es verdadero, 1 en caso contrario.
--list-lockdown-lista blanca-uids
Enumere todos los ID de usuario que están en la lista blanca.
--add-lockdown-lista blanca-uid=UID
Agregar la identificación de usuario UID a la lista blanca.
--remove-lockdown-lista blanca-uid=UID
Eliminar la identificación de usuario UID de la lista blanca.
--query-lockdown-lista blanca-uid=UID
Consultar si el ID de usuario UID está en la lista blanca. Devuelve 0 si es verdadero, 1 en caso contrario.
--list-lockdown-lista-blanca-usuarios
Enumere todos los nombres de usuario que están en la lista blanca.
--add-lockdown-lista blanca-usuario=usuario
Agregar el nombre de usuario usuario a la lista blanca.
--eliminar-usuario-de-lista-blanca-bloqueado=usuario
Eliminar el nombre de usuario usuario de la lista blanca.
--query-lockdown-lista blanca-usuario=usuario
Consultar si el nombre de usuario usuario está en la lista blanca. Devuelve 0 si es verdadero, 1 en caso contrario.
Educativa Opciones
--servidor de políticas
Cambie las acciones de Polkit a 'servidor' (más restringido)
--escritorio-política
Cambie las acciones de Polkit a 'escritorio' (menos restringido)
Use firewall-offline-cmd en línea usando los servicios de onworks.net
