Il s'agit de la commande firewall-cmd qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
firewall-cmd - client de ligne de commande firewalld
SYNOPSIS
pare-feu-cmd [OPTIONS...]
DESCRIPTION
firewall-cmd est le client en ligne de commande du démon firewalld. Il fournit une interface à
gérer l'exécution et la configuration permanente.
La configuration d'exécution dans firewalld est séparée de la configuration permanente. Cette
signifie que les choses peuvent être modifiées dans le runtime ou la configuration permanente.
OPTIONS
Les options suivantes sont prises en charge :
Général Options
-h, --Aidez-moi
Imprime un court texte d'aide et quitte.
-V, --version
Imprimez la chaîne de version de firewalld. Cette option n'est pas cumulable avec d'autres
options.
-q, --silencieux
N'imprimez pas les messages d'état.
Statut Options
--Etat
Vérifiez si le démon firewalld est actif (c'est-à-dire en cours d'exécution). Renvoie un code de sortie 0 si
il est actif, NE PAS COURRIR sinon (voir la section intitulée « CODES DE SORTIE »). Cette volonté
aussi imprimer l'état sur SORTIE STD.
--recharger
Rechargez les règles de pare-feu et conservez les informations d'état. La configuration permanente actuelle
devenir une nouvelle configuration d'exécution, c'est-à-dire que toutes les modifications d'exécution effectuées jusqu'au rechargement sont
perdus au rechargement s'ils n'ont pas été également en configuration permanente.
--rechargement complet
Rechargez complètement le pare-feu, même les modules du noyau netfilter. Ce sera très probablement
mettre fin aux connexions actives, car les informations d'état sont perdues. Cette option devrait
être utilisé uniquement en cas de problèmes graves de pare-feu. Par exemple s'il y a un état
problèmes d'information qu'aucune connexion ne peut être établie avec un pare-feu correct
règles.
--exécution-à-permanent
Enregistrez la configuration d'exécution active et écrasez la configuration permanente avec. Les
la façon dont cela est censé fonctionner est que lors de la configuration de firewalld, vous effectuez des modifications d'exécution
seulement et une fois que vous êtes satisfait de la configuration et que vous avez testé que cela fonctionne
vous voulez, vous enregistrez la configuration sur le disque.
--get-log-denied
Imprimez le paramètre du journal refusé.
--set-log-denied=Plus-value
Ajouter des règles de journalisation juste avant les règles de rejet et de suppression dans INPUT, FORWARD et OUTPUT
chaînes pour les règles par défaut et également les règles de rejet et de suppression finales dans les zones pour le
type de paquet de couche liaison configuré. Les valeurs possibles sont : tous, unicast, diffusion,
multicast et de rabais. Le paramètre par défaut est de rabais, ce qui désactive la journalisation.
Il s'agit d'un changement d'exécution et permanent qui rechargera également le pare-feu pour pouvoir
ajouter les règles de journalisation.
Permanent Options
--permanent
L'option permanente --permanent peut être utilisé pour définir des options de façon permanente. Ces changements
ne sont pas efficaces immédiatement, seulement après le redémarrage/le rechargement du service ou le redémarrage du système.
Sans le --permanent option, un changement ne fera qu'une partie de l'exécution
configuration.
Si vous souhaitez modifier le runtime et la configuration permanente, utilisez le même appel
avec et sans le --permanent option.
Le manuel de formation --permanent l'option peut être éventuellement ajoutée à toutes les options plus bas où elle se trouve
prise en charge.
Adrénaline Options
--get-zone-par-défaut
Imprimer la zone par défaut pour les connexions et les interfaces.
--set-zone-par-défaut=Zone
Définir la zone par défaut pour les connexions et les interfaces où aucune zone n'a été sélectionnée.
La définition de la zone par défaut modifie la zone des connexions ou interfaces, qui sont
en utilisant la zone par défaut.
Il s'agit d'un changement d'exécution et permanent.
--get-zones-actives
Imprimez complètement les zones actuellement actives avec les interfaces et les sources utilisées dans ces
zones. Les zones actives sont des zones qui ont une liaison avec une interface ou une source. Les
le format de sortie est :
zone1
interfaces: interface1 interface2 ..
sources: source1 ..
zone2
interfaces: interface3 ..
zone3
sources: source2 ..
S'il n'y a pas d'interfaces ou de sources liées à la zone, la ligne correspondante sera
être omis.
[--permanent] --get-zones
Imprimez les zones prédéfinies sous forme de liste séparée par des espaces.
[--permanent] --get-services
Imprimez les services prédéfinis sous forme de liste séparée par des espaces.
[--permanent] --get-icmptypes
Imprimez les types icmp prédéfinis sous forme de liste séparée par des espaces.
[--permanent] --get-zone-de-l'interface=interface
Imprimer le nom de la zone la interface est lié à ou aucune Zone.
[--permanent] --get-zone-de-source=source[/masque]
Imprimer le nom de la zone la source[/masque] est lié à ou aucune Zone.
[--permanent] --info-zone=Zone
Imprimer les informations sur la zone Zone. Le format de sortie est :
Zone
interfaces: interface1 ..
sources: source1 ..
services: service1 ..
ports : port1 ..
protocoles: protocole1 ..
forward-ports:
avant-port1
..
icmp-blocks: ICMP-type1 ..
règles riches:
règle-riche1
..
[--permanent] --list-toutes-zones
Répertoriez tout ce qui a été ajouté ou activé dans toutes les zones. Le format de sortie est :
zone1
interfaces: interface1 ..
sources: source1 ..
services: service1 ..
ports : port1 ..
protocoles: protocole1 ..
forward-ports:
avant-port1
..
icmp-blocks: ICMP-type1 ..
règles riches:
règle-riche1
..
..
--permanent --nouvelle-zone=Zone
Ajouter une nouvelle zone permanente.
--permanent --delete-zone=Zone
Supprimer une zone permanente existante.
--permanent [--zone=Zone] --get-cible
Obtenez la cible d'une zone permanente.
--permanent [--zone=Zone] --définissez la cible=l'objectif
Définir la cible d'une zone permanente. l'objectif fait partie de: défaut, ACCEPTER, GOUTTE, REJETER
Options à Adapter et Question Zones
Les options de cette section n'affectent qu'une zone particulière. Si utilisé avec --zone=Zone option,
ils affectent la zone Zone. Si l'option est omise, ils affectent la zone par défaut (voir
--get-zone-par-défaut).
[--permanent] [--zone=Zone] --tout lister
Lister tout ce qui a été ajouté ou activé dans Zone. Si la zone est omise, la zone par défaut sera
utilisé.
[--permanent] [--zone=Zone] --liste-services
Liste des services ajoutés pour Zone sous forme de liste séparée par des espaces. Si la zone est omise, valeur par défaut
zone sera utilisée.
[--permanent] [--zone=Zone] --ajouter-un service=service [--temps libre=intervalle de temps]
Ajouter un service pour Zone. Si zone est omis, la zone par défaut sera utilisée. Cette option peut
être spécifié plusieurs fois. Si un délai d'attente est fourni, la règle sera active pour le
durée spécifiée et sera automatiquement supprimé par la suite. intervalle de temps is
soit un nombre (de secondes) soit un nombre suivi d'un des caractères s (secondes), m
(minutes), h (heures), par exemple 20m or 1h.
Le service est l'un des services fournis par le pare-feu. Pour obtenir une liste des supports pris en charge
services, utiliser pare-feu-cmd --get-services.
Le manuel de formation --temps libre l'option n'est pas combinable avec la --permanent option.
[--permanent] [--zone=Zone] --remove-service=service
Supprimer un service de Zone. Cette option peut être spécifiée plusieurs fois. Si la zone est
omis, la zone par défaut sera utilisée.
[--permanent] [--zone=Zone] --query-service=service
Retourne si service a été ajouté pour Zone. Si la zone est omise, la zone par défaut sera
être utilisé. Renvoie 0 si vrai, 1 sinon.
[--permanent] [--zone=Zone] --liste-ports
Liste des ports ajoutés pour Zone sous forme de liste séparée par des espaces. Un port est de la forme
portide[-portide]/protocole, il peut s'agir d'une paire de ports et de protocoles ou d'une plage de ports
avec un protocole. Si zone est omis, la zone par défaut sera utilisée.
[--permanent] [--zone=Zone] --ajouter un port=portide[-portide]/protocole [--temps libre=intervalle de temps]
Ajouter le port pour Zone. Si zone est omis, la zone par défaut sera utilisée. Cette option peut
être spécifié plusieurs fois. Si un délai d'attente est fourni, la règle sera active pour le
durée spécifiée et sera automatiquement supprimé par la suite. intervalle de temps is
soit un nombre (de secondes) soit un nombre suivi d'un des caractères s (secondes), m
(minutes), h (heures), par exemple 20m or 1h.
Le port peut être un numéro de port unique ou une plage de ports portide-portideL’
le protocole peut être soit tcp or udp.
Le manuel de formation --temps libre l'option n'est pas combinable avec la --permanent option.
[--permanent] [--zone=Zone] --remove-port=portide[-portide]/protocole
Retirez le port de Zone. Si zone est omis, la zone par défaut sera utilisée. Cette option
peut être spécifié plusieurs fois.
[--permanent] [--zone=Zone] --query-port=portide[-portide]/protocole
Renvoie si le port a été ajouté pour Zone. Si la zone est omise, la zone par défaut sera
être utilisé. Renvoie 0 si vrai, 1 sinon.
[--permanent] [--zone=Zone] --list-protocoles
Liste des protocoles ajoutés pour Zone sous forme de liste séparée par des espaces. Si la zone est omise, valeur par défaut
zone sera utilisée.
[--permanent] [--zone=Zone] --add-protocole=protocole [--temps libre=intervalle de temps]
Ajouter le protocole pour Zone. Si zone est omis, la zone par défaut sera utilisée. Cette option
peut être spécifié plusieurs fois. Si un délai d'attente est fourni, la règle sera active pour
le laps de temps spécifié et sera automatiquement supprimé par la suite. intervalle de temps is
soit un nombre (de secondes) soit un nombre suivi d'un des caractères s (secondes), m
(minutes), h (heures), par exemple 20m or 1h.
Le protocole peut être n'importe quel protocole pris en charge par le système. S'il vous plaît jeter un oeil à
/ etc / protocols pour les protocoles pris en charge.
Le manuel de formation --temps libre l'option n'est pas combinable avec la --permanent option.
[--permanent] [--zone=Zone] --remove-protocole=protocole
Supprimer le protocole de Zone. Si zone est omis, la zone par défaut sera utilisée. Cette
L'option peut être spécifiée plusieurs fois.
[--permanent] [--zone=Zone] --query-protocole=protocole
Retourne si le protocole a été ajouté pour Zone. Si zone est omise, zone par défaut
sera utilisé. Renvoie 0 si vrai, 1 sinon.
[--permanent] [--zone=Zone] --list-icmp-blocs
Répertorier les blocs de type ICMP (Internet Control Message Protocol) ajoutés pour Zone comme un espace
liste séparée. Si zone est omis, la zone par défaut sera utilisée.
[--permanent] [--zone=Zone] --add-icmp-block=typeicmp [--temps libre=intervalle de temps]
Ajouter un bloc ICMP pour typeicmp pour Zone. Si la zone est omise, la zone par défaut sera
utilisé. Cette option peut être spécifiée plusieurs fois. Si un délai d'attente est fourni, la règle
sera actif pendant la durée spécifiée et sera automatiquement supprimé
après. intervalle de temps est soit un nombre (de secondes) soit un nombre suivi de l'un des
caractères s (secondes), m (minutes), h (heures), par exemple 20m or 1h.
Le manuel de formation typeicmp est l'un des types icmp pris en charge par firewalld. Pour obtenir une liste de
types d'icmp pris en charge : pare-feu-cmd --get-icmptypes
Le manuel de formation --temps libre l'option n'est pas combinable avec la --permanent option.
[--permanent] [--zone=Zone] --remove-icmp-block=typeicmp
Supprimer le bloc ICMP pour typeicmp grâce au Zone. Si la zone est omise, la zone par défaut sera
utilisé. Cette option peut être spécifiée plusieurs fois.
[--permanent] [--zone=Zone] --query-icmp-block=typeicmp
Renvoie si un bloc ICMP pour typeicmp a été ajouté pour Zone. Si la zone est omise,
la zone par défaut sera utilisée. Renvoie 0 si vrai, 1 sinon.
[--permanent] [--zone=Zone] --list-forward-ports
Liste IPv4 ports de transfert ajoutés pour Zone sous forme de liste séparée par des espaces. Si la zone est omise,
la zone par défaut sera utilisée.
Pour IPv6 transférer les ports, veuillez utiliser le langage riche.
[--permanent] [--zone=Zone]
--ajouter-port-vers l'avant=port=portide[-portide]:proto=protocole[:porter=portide[-portide]][:toaddr=propos[/masque]]
[--temps libre=intervalle de temps]
Ajoutez le IPv4 port de transfert pour Zone. Si zone est omis, la zone par défaut sera utilisée.
Cette option peut être spécifiée plusieurs fois. Si un délai d'attente est fourni, la règle
être actif pendant la durée spécifiée et sera automatiquement supprimé
après. intervalle de temps est soit un nombre (de secondes) soit un nombre suivi de l'un des
caractères s (secondes), m (minutes), h (heures), par exemple 20m or 1h.
Le port peut être soit un numéro de port unique portide ou une plage de ports portide-portideL’
le protocole peut être soit tcp or udp. L'adresse de destination est une simple adresse IP.
Le manuel de formation --temps libre l'option n'est pas combinable avec la --permanent option.
Pour IPv6 transférer les ports, veuillez utiliser le langage riche.
[--permanent] [--zone=Zone]
--remove-forward-port=port=portide[-portide]:proto=protocole[:porter=portide[-portide]][:toaddr=propos[/masque]]
Retirer le IPv4 transférer le port de Zone. Si zone est omis, la zone par défaut sera utilisée.
Cette option peut être spécifiée plusieurs fois.
Pour IPv6 transférer les ports, veuillez utiliser le langage riche.
[--permanent] [--zone=Zone]
--query-forward-port=port=portide[-portide]:proto=protocole[:porter=portide[-portide]][:toaddr=propos[/masque]]
Retourne si le IPv4 le port de transfert a été ajouté pour Zone. Si la zone est omise,
la zone par défaut sera utilisée. Renvoie 0 si vrai, 1 sinon.
Pour IPv6 transférer les ports, veuillez utiliser le langage riche.
[--permanent] [--zone=Zone] --add-mascarade [--temps libre=intervalle de temps]
Permettre IPv4 mascarade pour Zone. Si zone est omis, la zone par défaut sera utilisée. Si un
timeout est fourni, le masquage sera actif pendant la durée spécifiée.
intervalle de temps est soit un nombre (de secondes) soit un nombre suivi d'un des caractères s
(secondes), m (minutes), h (heures), par exemple 20m or 1h. La mascarade est utile si
la machine est un routeur et des machines connectées via une interface dans une autre zone
devrait pouvoir utiliser la première connexion.
Le manuel de formation --temps libre l'option n'est pas combinable avec la --permanent option.
Pour IPv6 mascarade, veuillez utiliser le langage riche.
[--permanent] [--zone=Zone] --remove-mascarade
Désactiver IPv4 mascarade pour Zone. Si zone est omis, la zone par défaut sera utilisée. Si
le masquage a été activé avec un délai d'attente, il sera également désactivé.
Pour IPv6 mascarade, veuillez utiliser le langage riche.
[--permanent] [--zone=Zone] --query-mascarade
Retourne si IPv4 le masquage a été activé pour Zone. Si la zone est omise,
la zone par défaut sera utilisée. Renvoie 0 si vrai, 1 sinon.
Pour IPv6 mascarade, veuillez utiliser le langage riche.
[--permanent] [--zone=Zone] --list-rich-règles
Répertorier les règles de langage enrichi ajoutées pour Zone comme une liste séparée par des sauts de ligne. Si la zone est
omis, la zone par défaut sera utilisée.
[--permanent] [--zone=Zone] --ajouter une règle riche='exclure' [--temps libre=intervalle de temps]
Ajouter une règle de langage enrichi 'exclure' pour Zone. Cette option peut être spécifiée plusieurs fois.
Si zone est omis, la zone par défaut sera utilisée. Si un délai d'attente est fourni, le exclure vont
être actif pendant la durée spécifiée et sera automatiquement supprimé
après. intervalle de temps est soit un nombre (de secondes) soit un nombre suivi de l'un des
caractères s (secondes), m (minutes), h (heures), par exemple 20m or 1h.
Pour la syntaxe des règles de langage riche, veuillez consulter pare-feud.richlanguage (5).
Le manuel de formation --temps libre l'option n'est pas combinable avec la --permanent option.
[--permanent] [--zone=Zone] --supprimer la règle riche='exclure'
Supprimer la règle de langage enrichi 'exclure' de Zone. Cette option peut être spécifiée plusieurs
fois. Si zone est omis, la zone par défaut sera utilisée.
Pour la syntaxe des règles de langage riche, veuillez consulter pare-feud.richlanguage (5).
[--permanent] [--zone=Zone] --query-rich-règle='exclure'
Renvoie si une règle de langage riche 'exclure' a été ajouté pour Zone. Si la zone est
omis, la zone par défaut sera utilisée. Renvoie 0 si vrai, 1 sinon.
Pour la syntaxe des règles de langage riche, veuillez consulter pare-feud.richlanguage (5).
Options à Poignée fixations of Interfaces
Lier une interface à une zone signifie que les paramètres de cette zone sont utilisés pour restreindre le trafic
via l'interface.
Les options de cette section n'affectent qu'une zone particulière. Si utilisé avec --zone=Zone option,
ils affectent la zone Zone. Si l'option est omise, ils affectent la zone par défaut (voir
--get-zone-par-défaut).
Pour une liste de zones prédéfinies, utilisez pare-feu-cmd --get-zones.
Un nom d'interface est une chaîne de 16 caractères maximum, qui ne peut pas contenir ' ', '/', '!'
et '*'.
[--permanent] [--zone=Zone] --list-interfaces
Lister les interfaces liées à la zone Zone sous forme de liste séparée par des espaces. Si la zone est
omis, la zone par défaut sera utilisée.
[--permanent] [--zone=Zone] --ajouter-interface=interface
Lier l'interface interface zoner Zone. Si zone est omis, la zone par défaut sera utilisée.
En tant qu'utilisateur final, vous n'en avez pas besoin dans la plupart des cas, car NetworkManager (ou l'ancien
service réseau) ajoute automatiquement des interfaces dans les zones (selon ZONE= option
de ifcfg-interface fichier) si NM_CONTROLLED=non n'est pas défini. Vous ne devriez le faire que si
il n'y a pas de /etc/sysconfig/network-scripts/ifcfg-interface déposer. S'il existe un tel fichier
et vous ajoutez l'interface à la zone avec ceci --ajouter-interface option, assurez-vous que la zone est
le même dans les deux cas, sinon le comportement serait indéfini. Veuillez également avoir un
regarde le pare-feu(1) page de manuel dans le Concepts section. Pour l'association permanente
d'interface avec une zone, voir aussi 'Comment paramétrer ou modifier une zone pour une connexion ?' dans
pare-feud.zones (5).
[--zone=Zone] --change-interface=interface
Changer de zone l'interface interface est lié à la zone Zone. C'est en gros
--remove-interface suivie par --ajouter-interface. Si l'interface n'a pas été liée à
une zone avant, il se comporte comme --ajouter-interface. Si la zone est omise, la zone par défaut sera
être utilisé.
[--permanent] [--zone=Zone] --query-interface=interface
Demander si l'interface interface est lié à la zone Zone. Renvoie 0 si vrai, 1
autrement.
[--permanent] --remove-interface=interface
Supprimer la liaison de l'interface interface de la zone à laquelle il a été précédemment ajouté.
Options à Poignée fixations of Références
Lier une source à une zone signifie que les paramètres de cette zone seront utilisés pour restreindre le trafic
de cette source.
Une adresse source ou une plage d'adresses est soit une adresse IP, soit une adresse IP réseau avec un
masque pour IPv4 ou IPv6 ou une adresse MAC (pas de masque). Pour IPv4, le masque peut être un masque de réseau
ou un nombre simple. Pour IPv6, le masque est un nombre clair. L'utilisation de noms d'hôte n'est pas
prise en charge.
Les options de cette section n'affectent qu'une zone particulière. Si utilisé avec --zone=Zone option,
ils affectent la zone Zone. Si l'option est omise, ils affectent la zone par défaut (voir
--get-zone-par-défaut).
Pour une liste de zones prédéfinies, utilisez pare-feu-cmd [--permanent] --get-zones.
[--permanent] [--zone=Zone] --list-sources
Répertorier les sources liées à la zone Zone sous forme de liste séparée par des espaces. Si la zone est
omis, la zone par défaut sera utilisée.
[--permanent] [--zone=Zone] --ajouter-source=source[/masque]
Lier la source source[/masque] à zoner Zone. Si zone est omis, la zone par défaut sera utilisée.
[--zone=Zone] --change-source=source[/masque]
Changer de zone la source source[/masque] est lié à la zone Zone. C'est en gros
--remove-source suivie par --ajouter-source. Si la source n'a pas été liée à une zone
avant, il se comporte comme --ajouter-source. Si zone est omis, la zone par défaut sera utilisée.
[--permanent] [--zone=Zone] --source-de-requête=source[/masque]
Demander si la source source[/masque] est lié à la zone Zone. Renvoie 0 si vrai, 1
autrement.
[--permanent] --remove-source=source[/masque]
Supprimer la liaison de la source source[/masque] de la zone à laquelle il a été précédemment ajouté.
IPSet Options
--permanent --nouveau-ipset=ipset --taper=ipset type [--option=ipset option[=Plus-value]]
Ajoutez un nouvel ipset permanent en spécifiant le type et les options facultatives.
--permanent --delete-ipset=ipset
Supprimer un ipset permanent existant.
[--permanent] --info-ipset=ipset
Imprimer des informations sur l'ipset ipset. Le format de sortie est :
ipset
Type: type
options: option1[=valeur1] ..
entrées : entrée1 ..
[--permanent] --get-ipsets
Imprimez les ipsets prédéfinis sous forme de liste séparée par des espaces.
[--permanent] --ipset=ipset --ajouter-entrée=entrée
Ajoutez une nouvelle entrée à l'ipset.
[--permanent] --ipset=ipset --remove-entry=entrée
Supprimer une entrée de l'ipset.
[--permanent] --ipset=ipset --query-entry=entrée
Renvoie si l'entrée a été ajoutée à un ipset. Renvoie 0 si vrai, 1 sinon.
[--permanent] --ipset=ipset --get-entrées
Répertoriez toutes les entrées de l'ipset.
Services Options
Les options de cette section n'affectent qu'un service particulier.
[--permanent] --info-service=service
Imprimer les informations sur le service service. Le format de sortie est :
service
ports : port1 ..
protocoles: protocole1 ..
modules: module 1 ..
destination: ipv1:address1 ..
Les options suivantes ne sont utilisables que dans la configuration permanente.
--permanent --nouveau-service=service
Ajouter un nouveau service permanent.
--permanent --delete-service=service
Supprimer un service permanent existant.
--permanent --un service=service --ajouter un port=portide[-portide]/protocole
Ajoutez un nouveau port au service permanent.
--permanent --un service=service --remove-port=portide[-portide]/protocole
Supprimer un port du service permanent.
--permanent --un service=service --query-port=portide[-portide]/protocole
Revenez si le port a été ajouté au service permanent.
--permanent --un service=service --get-ports
Liste des ports ajoutés au service permanent.
--permanent --un service=service --add-protocole=protocole
Ajouter un nouveau protocole au service permanent.
--permanent --un service=service --remove-protocole=protocole
Supprimer un protocole du service permanent.
--permanent --un service=service --query-protocole=protocole
Revenez si le protocole a été ajouté au service permanent.
--permanent --un service=service --get-protocoles
Lister les protocoles ajoutés au service permanent.
--permanent --un service=service --ajouter un module=module
Ajouter un nouveau module au service permanent.
--permanent --un service=service --remove-module=module
Supprimer un module du service permanent.
--permanent --un service=service --query-module=module
Retourner si le module a été ajouté au service permanent.
--permanent --un service=service --get-modules
Liste des modules ajoutés au service permanent.
--permanent --un service=service --ajouter une destination=au lieu de :propos[/masque]
Définissez la destination de l'ipv sur l'adresse[/mask] dans le service permanent.
--permanent --un service=service --supprimer-destination=au lieu de
Supprimez la destination pour ipv du service permanent.
--permanent --un service=service --requête-destination=au lieu de :propos[/masque]
Retourne si l'adresse ipv de destination [/mask] a été définie dans le permanent
après-vente.
--permanent --un service=service --get-destinations
Liste des destinations ajoutées au service permanent.
Internet Contrôle Message Passerelle (ICMP) type Options
Les options de cette section n'affectent qu'un seul icmptype particulier.
[--permanent] --info-icmptype=typeicmp
Imprimer des informations sur le type icmp typeicmp. Le format de sortie est :
typeicmp
destination: ipv1 ..
Les options suivantes ne sont utilisables que dans la configuration permanente.
--permanent --nouveau-icmptype=typeicmp
Ajoutez un nouveau type d'icmp permanent.
--permanent --delete-icmptype=typeicmp
Supprimez un icmptype permanent existant.
--permanent --icmptype=typeicmp --ajouter une destination=au lieu de
Activer la destination pour ipv dans icmptype permanent. ipv est l'un des ipv4 or ipv6.
--permanent --icmptype=typeicmp --supprimer-destination=au lieu de
Désactiver la destination pour ipv dans icmptype permanent. ipv est l'un des ipv4 or ipv6.
--permanent --icmptype=typeicmp --requête-destination=au lieu de
Renvoie si la destination pour ipv est activée dans icmptype permanent. ipv est l'un des
ipv4 or ipv6.
--permanent --icmptype=typeicmp --get-destinations
Liste des destinations dans icmptype permanent.
direct et gratuit Options
Les options directes donnent un accès plus direct au pare-feu. Ces options nécessitent que l'utilisateur
connaître les concepts de base d'iptables, c'est-à-dire table (filtre/mangle/nat/...), chaîne
(ENTREE/SORTIE/AVANCE/...), commandes (-A/-D/-I/...), paramètres (-p/-s/-d/-j/...) et
objectifs (ACCEPTER/SUPPRIMER/REFUSER/...).
Les options directes ne doivent être utilisées qu'en dernier recours lorsqu'il n'est pas possible de les utiliser pour
(ici) --ajouter-un service=service or --ajouter une règle riche='exclure'.
Le premier argument de chaque option doit être ipv4 or ipv6 or eb. Avec ipv4 ce sera pour
IPv4 (iptables(8)), avec ipv6 pour IPv6 (ip6tables(8)) et avec eb pour ponts ethernet
(créances(8)).
[--permanent] --direct --get-all-chains
Obtenez toutes les chaînes ajoutées à toutes les tables. Cette option ne concerne que les chaînes ajoutées précédemment
avec --direct --add-chaîne.
[--permanent] --direct --get-chaînes { ipv4 | ipv6 | eb } table
Obtenez toutes les chaînes ajoutées à la table table sous forme de liste séparée par des espaces. Cette option concerne
seules les chaînes précédemment ajoutées avec --direct --add-chaîne.
[--permanent] --direct --add-chaîne { ipv4 | ipv6 | eb } table chaîne
Ajouter une nouvelle chaîne avec le nom chaîne à la table table. Assurez-vous qu'il n'y a pas d'autre chaîne avec
déjà ce nom.
Il existe déjà des chaînes basiques à utiliser avec des options directes, par exemple ENTREE_directe
chaîne (voir iptables-sauvegarder | grep sortie pour tous). Ces chaînes sont
sauté dans les chaînes avant pour les zones, c'est-à-dire chaque règle mise en ENTREE_directe sera
vérifié avant les règles dans les zones.
[--permanent] --direct --remove-chaîne { ipv4 | ipv6 | eb } table chaîne
Supprimer la chaîne avec le nom chaîne de la table table. Seules les chaînes précédemment ajoutées avec
--direct --add-chaîne peut être retiré de cette façon.
[--permanent] --direct --chaîne de requête { ipv4 | ipv6 | eb } table chaîne
Retourne si une chaîne avec le nom chaîne existe dans le tableau table. Renvoie 0 si vrai, 1
autrement. Cette option ne concerne que les chaînes précédemment ajoutées avec --direct
--add-chaîne.
[--permanent] --direct --obtenir-toutes-les-règles
Obtenez toutes les règles ajoutées à toutes les chaînes dans toutes les tables sous la forme d'une liste séparée par une nouvelle ligne du
priorité et arguments. Cette option ne concerne que les règles préalablement ajoutées avec --direct
--ajouter une règle.
[--permanent] --direct --get-règles { ipv4 | ipv6 | eb } table chaîne
Obtenez toutes les règles ajoutées à la chaîne chaîne dans le tableau table comme une liste séparée par des sauts de ligne des
priorité et arguments. Cette option ne concerne que les règles préalablement ajoutées avec --direct
--ajouter une règle.
[--permanent] --direct --ajouter une règle { ipv4 | ipv6 | eb } table chaîne priorité args
Ajouter une règle avec les arguments args enchaîner chaîne dans le tableau table avec priorité
priorité.
Le manuel de formation priorité est utilisé pour ordonner les règles. La priorité 0 signifie ajouter une règle en haut de la chaîne,
avec une priorité plus élevée, la règle sera ajoutée plus bas. Règles avec le même
priorité sont au même niveau et l'ordre de ces règles n'est pas fixe et peut
monnaie. Si vous voulez vous assurer qu'une règle sera ajoutée après une autre, utilisez un
priorité faible pour le premier et plus élevée pour le suivant.
[--permanent] --direct --remove-règle { ipv4 | ipv6 | eb } table chaîne priorité args
Supprimer une règle avec priorité et les arguments args de la chaîne chaîne dans le tableau table.
Seules les règles ajoutées précédemment avec --direct --ajouter une règle peut être retiré de cette façon.
[--permanent] --direct --remove-règles { ipv4 | ipv6 | eb } table chaîne
Supprimer toutes les règles de la chaîne avec le nom chaîne existe dans le tableau table. Cette option
ne concerne que les règles précédemment ajoutées avec --direct --ajouter une règle dans cette chaîne.
[--permanent] --direct --requête-règle { ipv4 | ipv6 | eb } table chaîne priorité args
Renvoie si une règle avec priorité et les arguments args existe en chaîne chaîne in
table table. Renvoie 0 si vrai, 1 sinon. Cette option ne concerne que les règles
précédemment ajouté avec --direct --ajouter une règle.
--direct --traverser { ipv4 | ipv6 | eb } args
Transmettez une commande au pare-feu. args peut être tout iptables, ip6tables et
créances arguments de ligne de commande. Cette commande n'est pas suivie, ce qui signifie que firewalld
n'est pas en mesure de fournir des informations sur cette commande plus tard, pas non plus une liste de
les passes non tracées.
[--permanent] --direct --get-all-passthroughs
Obtenez toutes les règles de passthrough sous forme de liste séparée par une nouvelle ligne de la valeur ipv et des arguments.
[--permanent] --direct --get-passthroughs { ipv4 | ipv6 | eb }
Obtenez toutes les règles de passthrough pour la valeur ipv sous la forme d'une liste séparée par une nouvelle ligne du
priorité et arguments.
[--permanent] --direct --ajouter un passage { ipv4 | ipv6 | eb } args
Ajouter une règle de passthrough avec les arguments args pour la valeur ipv.
[--permanent] --direct --remove-passthrough { ipv4 | ipv6 | eb } args
Supprimer une règle de passthrough avec les arguments args pour la valeur ipv.
[--permanent] --direct --query-passthrough { ipv4 | ipv6 | eb } args
Renvoie si une règle passthrough avec les arguments args existe pour la valeur ipv.
Renvoie 0 si vrai, 1 sinon.
Lockdown Options
Les applications ou services locaux peuvent modifier la configuration du pare-feu s'ils sont
exécutés en tant que root (exemple : libvirt) ou sont authentifiés à l'aide de PolicyKit. Avec cette fonctionnalité
les administrateurs peuvent verrouiller la configuration du pare-feu afin que seules les applications verrouillées
liste blanche peuvent demander des modifications de pare-feu.
Le contrôle d'accès de verrouillage limite les méthodes D-Bus qui modifient les règles de pare-feu. Mettre en doute,
Les méthodes list et get ne sont pas limitées.
La fonction de verrouillage est une version très légère des politiques d'utilisateur et d'application pour
firewalld et est désactivé par défaut.
--verrouillage-sur
Activer le verrouillage. Soyez prudent - si firewall-cmd n'est pas sur la liste blanche de verrouillage lorsque vous
activer le verrouillage, vous ne pourrez plus le désactiver avec firewall-cmd, vous le feriez
besoin de modifier firewalld.conf.
Il s'agit d'un changement d'exécution et permanent.
--confinement
Désactiver le verrouillage.
Il s'agit d'un changement d'exécution et permanent.
--query-lockdown
Demande si le verrouillage est activé. Renvoie 0 si le verrouillage est activé, 1 sinon.
Lockdown whitelist Options
La liste blanche de verrouillage peut contenir commandes, contextes, des opportunités et utilisateur ids.
Si une entrée de commande sur la liste blanche se termine par un astérisque '*', alors toutes les lignes de commande
en commençant par la commande correspondra. Si le '*' n'est pas là, la commande absolue
les arguments inclusifs doivent correspondre.
Les commandes pour l'utilisateur root et les autres ne sont pas toujours les mêmes. Exemple : En tant que root
/bin/firewall-cmd est utilisé, comme un utilisateur normal /usr/bin/firewall-cmd est utilisé sur Fedora.
Le contexte est le contexte de sécurité (SELinux) d'une application ou d'un service en cours d'exécution. Obtenir
le contexte d'utilisation d'une application en cours d'exécution ps -e --le contexte.
Mise en garde: Si le contexte n'est pas limité, cela ouvrira l'accès pour plus de la
application souhaitée.
Les entrées de la liste blanche de verrouillage sont vérifiées dans l'ordre suivant :
1. aux contextes
2. uid
3. utilisateur
4. commander
[--permanent] --list-lockdown-whitelist-commandes
Répertoriez toutes les lignes de commande figurant sur la liste blanche.
[--permanent] --add-lockdown-whitelist-commande=commander
Ajoutez le commander à la liste blanche.
[--permanent] --remove-lockdown-whitelist-commande=commander
Retirer le commander de la liste blanche.
[--permanent] --query-lockdown-whitelist-commande=commander
Demandez si le commander est sur la liste blanche. Renvoie 0 si vrai, 1 sinon.
[--permanent] --list-lockdown-whitelist-contexts
Répertoriez tous les contextes figurant sur la liste blanche.
[--permanent] --add-lockdown-whitelist-context=aux contextes
Ajouter le contexte aux contextes à la liste blanche.
[--permanent] --remove-lockdown-whitelist-context=aux contextes
Retirer le aux contextes de la liste blanche.
[--permanent] --query-lockdown-liste blanche-contexte=aux contextes
Demandez si le aux contextes est sur la liste blanche. Renvoie 0 si vrai, 1 sinon.
[--permanent] --list-lockdown-liste blanche-uids
Répertoriez tous les identifiants d'utilisateurs figurant sur la liste blanche.
[--permanent] --add-lockdown-whitelist-uid=uid
Ajouter l'identifiant de l'utilisateur uid à la liste blanche.
[--permanent] --remove-lockdown-liste-blanche-uid=uid
Supprimer l'identifiant de l'utilisateur uid de la liste blanche.
[--permanent] --query-lockdown-liste blanche-uid=uid
Demander si l'identifiant de l'utilisateur uid est sur la liste blanche. Renvoie 0 si vrai, 1 sinon.
[--permanent] --list-lockdown-liste blanche-utilisateurs
Répertoriez tous les noms d'utilisateurs figurant sur la liste blanche.
[--permanent] --add-lockdown-whitelist-utilisateur=utilisateur
Ajoutez le nom d'utilisateur utilisateur à la liste blanche.
[--permanent] --remove-lockdown-whitelist-user=utilisateur
Supprimer le nom d'utilisateur utilisateur de la liste blanche.
[--permanent] --query-lockdown-whitelist-utilisateur=utilisateur
Demande si le nom d'utilisateur utilisateur est sur la liste blanche. Renvoie 0 si vrai, 1 sinon.
Panique Options
--panique
Activer le mode panique. Tous les paquets entrants et sortants sont abandonnés, connexions actives
va expirer. Activez cette option uniquement s'il y a de sérieux problèmes avec votre réseau
environnement. Par exemple si la machine est piratée.
Il s'agit d'un changement d'exécution uniquement.
--panique-off
Désactivez le mode panique. Après avoir désactivé le mode panique, les connexions établies peuvent fonctionner
à nouveau, si le mode panique a été activé pendant une courte période.
Il s'agit d'un changement d'exécution uniquement.
--query-panique
Renvoie 0 si le mode panique est activé, 1 sinon.
EXEMPLES
Pour plus d'exemples voir http://fedoraproject.org/wiki/FirewallD
Exemple 1
Activer le service http dans la zone par défaut. Il s'agit uniquement d'un changement à l'exécution, c'est-à-dire effectif jusqu'à ce que
redémarrer.
pare-feu-cmd --add-service=http
Exemple 2
Activez le port 443/tcp immédiatement et définitivement dans la zone par défaut. Pour faire le changement
efficace immédiatement et également après le redémarrage, nous avons besoin de deux commandes. La première commande fait
la modification de la configuration d'exécution, c'est-à-dire la rend effective immédiatement, jusqu'au redémarrage.
La deuxième commande rend le changement de configuration permanent, c'est-à-dire le rend effectif
après le redémarrage.
pare-feu-cmd --add-port=443/tcp
firewall-cmd --permanent --add-port = 443 / tcp
EXIT CODES
En cas de succès, 0 est renvoyé. En cas d'échec, la sortie est de couleur rouge et le code de sortie est soit 2
en cas d'utilisation incorrecte des options de ligne de commande ou de l'un des codes d'erreur suivants dans d'autres
les cas:
??
│Chaîne │ Code │
??
ALREADY_ENABLED │ 11 │
??
NOT_ENABLED │ 12 │
??
COMMAND_FAILED │ 13 │
??
NO_IPV6_NAT 14 │
??
PANIC_MODE 15 │
??
ZONE_ALREADY_SET 16 │
??
UNKNOWN_INTERFACE 17 │
??
ZONE_CONFLICT 18 │
??
BUILTIN_CHAIN 19 │
??
EBTABLES_NO_REJECT 20 │
??
NOT_OVERLOADABLE │ 21 │
??
NO_DEFAULTS 22 │
??
BUILTIN_ZONE 23 │
??
BUILTIN_SERVICE 24 │
??
│BUILTIN_ICMPTYPE 25 │
??
NAME_CONFLICT │ 26 │
??
NAME_MISMATCH │ 27 │
??
PARSE_ERROR 28 │
??
ACCESS_DENIED │ 29 │
??
UNKNOWN_SOURCE 30 │
??
RT_TO_PERM_FAILED 31 │
??
IPSET_WITH_TIMEOUT 32 │
??
│BUILTIN_IPSET 33 │
??
ALREADY_SET 34 │
??
INVALID_ACTION 100 │
??
INVALID_SERVICE 101 │
??
INVALID_PORT 102 │
??
PROTOCOLE_INVALIDE 103 │
??
INVALID_INTERFACE 104 │
??
INVALID_ADDR 105 │
??
INVALID_FORWARD │ 106 │
??
INVALID_ICMPTYPE 107 │
??
INVALID_TABLE 108 │
??
INVALID_CHAIN 109 │
??
INVALID_TARGET 110 │
??
INVALID_IPV 111 │
??
INVALID_ZONE 112 │
??
INVALID_PROPERTY 113 │
??
INVALID_VALUE 114 │
??
INVALID_OBJECT 115 │
??
INVALID_NAME 116 │
??
INVALID_FILENAME 117 │
??
INVALID_DIRECTORY 118 │
??
INVALID_TYPE 119 │
??
INVALID_SETTING 120 │
??
INVALID_DESTINATION 121 │
??
INVALID_RULE 122 │
??
INVALID_LIMIT 123 │
??
INVALID_FAMILY 124 │
??
INVALID_LOG_LEVEL 125 │
??
INVALID_AUDIT_TYPE 126 │
??
INVALID_MARK 127 │
??
INVALID_CONTEXT 128 │
??
INVALID_COMMAND 129 │
??
INVALID_USER 130 │
??
INVALID_UID 131 │
??
MODULE_INVALIDE 132 │
??
INVALID_PASSTHROUGH 133 │
??
INVALID_MAC 134 │
??
INVALID_IPSET 135 │
??
INVALID_ENTRY 136 │
??
INVALID_OPTION 137 │
??
MISSING_TABLE │ 200 │
??
MISSING_CHAIN 201 │
??
MISSING_PORT 202 │
??
│MISSING_PROTOCOL 203 │
??
MISSING_ADDR 204 │
??
MISSING_NAME 205 │
??
MISSING_SETTING 206 │
??
MISSING_FAMILY 207 │
??
NOT_RUNNING 252 │
??
NOT_AUTHORIZED │ 253 │
??
│UNKNOWN_ERROR 254 │
??
Utiliser firewall-cmd en ligne à l'aide des services onworks.net
