Il s'agit de la commande firewall-offline-cmd qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
firewall-offline-cmd - client de ligne de commande hors ligne firewalld
SYNOPSIS
pare-feu-hors ligne-cmd [OPTIONS...]
DESCRIPTION
firewall-offline-cmd est un client de ligne de commande hors ligne du démon firewalld. Cela devrait
être utilisé uniquement si le service firewalld n'est pas en cours d'exécution. Par exemple pour migrer de
system-config-firewall/lokkit ou dans l'environnement d'installation pour configurer les paramètres du pare-feu
avec kickstart.
Certaines options de lokkit ne peuvent pas être converties automatiquement pour firewalld, elles entraîneront
un message d'erreur ou d'avertissement. Cet outil essaie de convertir autant que possible, mais il y a
limitations, par exemple avec des règles personnalisées, des modules et le masquage.
Vérifiez la configuration du pare-feu après avoir utilisé cet outil.
OPTIONS
Si aucune option n'est donnée, la configuration de /etc/sysconfig/system-config-firewall sera
migré.
Les options suivantes sont prises en charge :
d’aide Options
-h, --Aidez-moi
Imprime un court texte d'aide et existe.
Statut Options
--activée
Activez le pare-feu. Cette option est une option par défaut et activera le pare-feu si
pas déjà activé tant que l'option --désactivée n'est pas donné.
--désactivée
Désactivez le pare-feu en désactivant le service firewalld.
Kit de verrouillage Compatibilité Options
Ces options sont presque identiques aux options de kit de verrouillage.
--ajouter un module=module
Cette option entraînera un message d'avertissement et sera ignorée.
La gestion des assistants netfilter a été complètement fusionnée dans les services. Ajout ou
la suppression des assistants netfilter en dehors des services n'est donc plus nécessaire. Pour
plus d'informations sur la gestion des assistants netfilter dans les services, veuillez consulter
pare-feu.zone (5).
--removemodule
Cette option entraînera un message d'avertissement et sera ignorée.
La gestion des assistants netfilter a été complètement fusionnée dans les services. Ajout ou
la suppression des assistants netfilter en dehors des services n'est donc plus nécessaire. Pour
plus d'informations sur la gestion des assistants netfilter dans les services, veuillez consulter
pare-feu.zone (5).
--remove-service=service
Supprimer un service de la zone par défaut. Cette option peut être spécifiée plusieurs fois.
Le service est l'un des services fournis par le pare-feu. Pour obtenir une liste des supports pris en charge
services, utiliser pare-feu-cmd --get-services.
-s service, --un service=service
Ajoutez un service à la zone par défaut. Cette option peut être spécifiée plusieurs fois.
Le service est l'un des services fournis par le pare-feu. Pour obtenir une liste des supports pris en charge
services, utiliser pare-feu-cmd --get-services.
-p portide[-portide]:protocole, --Port=portide[-portide]:protocole
Ajoutez le port à la zone par défaut. Cette option peut être spécifiée plusieurs fois.
Le port peut être un numéro de port unique ou une plage de ports portide-portideL’
le protocole peut être soit tcp or udp.
-t interface, --confiance=interface
Cette option entraînera un message d'avertissement.
Marquer une interface comme approuvée. Cette option peut être spécifiée plusieurs fois. Les
l'interface sera liée à la zone de confiance.
Si l'interface est utilisée dans une connexion gérée par NetworkManager ou s'il existe un
ifcfg pour cette interface, la zone sera remplacée par la zone définie dans le
configuration dès son activation. Pour changer la zone d'une connexion utiliser
éditeur de connexion nm et définissez la zone sur Trusted, pour un fichier ifcfg, utilisez un éditeur et
ajouter "ZONE=confiance". Si la zone n'est pas définie dans le fichier ifcfg, le firewalld
la zone par défaut sera utilisée.
-m interface, --masque=interface
Cette option entraînera un message d'avertissement.
Le masquage sera activé dans la zone par défaut. L'argument d'interface sera
ignoré. C'est pour IPv4 seulement.
--règles personnalisées=[type:][table:]nom de fichier
Cette option entraînera un message d'avertissement et sera ignorée.
Les fichiers de règles personnalisées ne sont pas pris en charge par firewalld.
--port-avant=si=interface:port=port:proto=protocole[:porter=destination
port:][:toaddr=destination propos]
Cette option entraînera un message d'avertissement.
Ajoutez le IPv4 transférer le port dans la zone par défaut. Cette option peut être spécifiée plusieurs
fois.
Le port peut être soit un numéro de port unique portide ou une plage de ports portide-portideL’
le protocole peut être soit tcp or udp. L'adresse de destination est une adresse IP.
--block-icmp=typeicmp
Cette option entraînera un message d'avertissement.
Ajouter un bloc ICMP pour typeicmp dans la zone par défaut. Cette option peut être spécifiée
plusieurs fois.
La typeicmp est l'un des types icmp pris en charge par firewalld. Pour obtenir une liste de
types d'icmp pris en charge : pare-feu-cmd --get-icmptypes
Adrénaline Options
--get-zone-par-défaut
Imprimer la zone par défaut pour les connexions et les interfaces.
--set-zone-par-défaut=Zone
Définir la zone par défaut pour les connexions et les interfaces où aucune zone n'a été sélectionnée.
La définition de la zone par défaut modifie la zone des connexions ou interfaces, qui sont
en utilisant la zone par défaut.
--get-zones
Imprimez les zones prédéfinies sous forme de liste séparée par des espaces.
--get-services
Imprimez les services prédéfinis sous forme de liste séparée par des espaces.
--get-icmptypes
Imprimez les types icmp prédéfinis sous forme de liste séparée par des espaces.
--get-zone-de-l'interface=interface
Imprimer le nom de la zone la interface est lié à ou aucune Zone.
--get-zone-de-source=la source[/masque]
Imprimer le nom de la zone la la source[/masque] est lié à ou aucune Zone.
--info-zone=Zone
Imprimer les informations sur la zone Zone. Le format de sortie est :
Zone
interfaces: interface1 ..
sources: source1 ..
services: service1 ..
ports : port1 ..
protocoles: protocole1 ..
forward-ports:
avant-port1
..
icmp-blocks: ICMP-type1 ..
règles riches:
règle-riche1
..
--list-toutes-zones
Répertoriez tout ce qui a été ajouté ou activé dans toutes les zones. Le format de sortie est :
zone1
interfaces: interface1 ..
sources: source1 ..
services: service1 ..
ports : port1 ..
protocoles: protocole1 ..
forward-ports:
avant-port1
..
icmp-blocks: ICMP-type1 ..
règles riches:
règle-riche1
..
..
--nouvelle-zone=Zone
Ajouter une nouvelle zone permanente.
--delete-zone=Zone
Supprimer une zone permanente existante.
--zone=Zone --get-cible
Obtenez la cible d'une zone permanente.
--zone=Zone --définissez la cible=Zone
Définir la cible d'une zone permanente.
Options à Adapter ainsi que Question Zones
Les options de cette section n'affectent qu'une zone particulière. Si utilisé avec --zone=Zone option,
ils affectent la zone Zone. Si l'option est omise, ils affectent la zone par défaut (voir
--get-zone-par-défaut).
[--zone=Zone] --tout lister
Lister tout ce qui a été ajouté ou activé dans Zone. Si la zone est omise, la zone par défaut sera
utilisé.
[--zone=Zone] --liste-services
Liste des services ajoutés pour Zone sous forme de liste séparée par des espaces. Si la zone est omise, valeur par défaut
zone sera utilisée.
[--zone=Zone] --ajouter-un service=service
Ajouter un service pour Zone. Si zone est omis, la zone par défaut sera utilisée. Cette option peut
être spécifié plusieurs fois.
Le service est l'un des services fournis par le pare-feu. Pour obtenir une liste des supports pris en charge
services, utiliser pare-feu-cmd --get-services.
[--zone=Zone] --remove-service-de-la-zone=service
Supprimer un service de Zone. Cette option peut être spécifiée plusieurs fois. Si la zone est
omis, la zone par défaut sera utilisée.
[--zone=Zone] --query-service=service
Retourne si service a été ajouté pour Zone. Si la zone est omise, la zone par défaut sera
être utilisé. Renvoie 0 si vrai, 1 sinon.
[--zone=Zone] --liste-ports
Liste des ports ajoutés pour Zone sous forme de liste séparée par des espaces. Un port est de la forme
portide[-portide]/protocole, il peut s'agir d'une paire de ports et de protocoles ou d'une plage de ports
avec un protocole. Si zone est omis, la zone par défaut sera utilisée.
[--zone=Zone] --ajouter un port=portide[-portide]/protocole
Ajouter le port pour Zone. Si zone est omis, la zone par défaut sera utilisée. Cette option peut
être spécifié plusieurs fois.
Le port peut être un numéro de port unique ou une plage de ports portide-portideL’
le protocole peut être soit tcp or udp.
[--zone=Zone] --remove-port=portide[-portide]/protocole
Retirez le port de Zone. Si zone est omis, la zone par défaut sera utilisée. Cette option
peut être spécifié plusieurs fois.
[--zone=Zone] --query-port=portide[-portide]/protocole
Renvoie si le port a été ajouté pour Zone. Si la zone est omise, la zone par défaut sera
être utilisé. Renvoie 0 si vrai, 1 sinon.
[--zone=Zone] --list-protocoles
Liste des protocoles ajoutés pour Zone sous forme de liste séparée par des espaces. Si la zone est omise, valeur par défaut
zone sera utilisée.
[--zone=Zone] --add-protocole=protocole
Ajouter le protocole pour Zone. Si zone est omis, la zone par défaut sera utilisée. Cette option
peut être spécifié plusieurs fois. Si un délai d'attente est fourni, la règle sera active pour
le laps de temps spécifié et sera automatiquement supprimé par la suite. intervalle de temps is
soit un nombre (de secondes) soit un nombre suivi d'un des caractères s (secondes), m
(minutes), h (heures), par exemple 20m or 1h.
Le protocole peut être n'importe quel protocole pris en charge par le système. S'il vous plaît jeter un oeil à
/ etc / protocols pour les protocoles pris en charge.
[--zone=Zone] --remove-protocole=protocole
Supprimer le protocole de Zone. Si zone est omis, la zone par défaut sera utilisée. Cette
L'option peut être spécifiée plusieurs fois.
[--zone=Zone] --query-protocole=protocole
Retourne si le protocole a été ajouté pour Zone. Si zone est omise, zone par défaut
sera utilisé. Renvoie 0 si vrai, 1 sinon.
[--zone=Zone] --list-icmp-blocs
Répertorier les blocs de type ICMP (Internet Control Message Protocol) ajoutés pour Zone comme un espace
liste séparée. Si zone est omis, la zone par défaut sera utilisée.
[--zone=Zone] --add-icmp-block=typeicmp
Ajouter un bloc ICMP pour typeicmp en Zone. Si la zone est omise, la zone par défaut sera
utilisé. Cette option peut être spécifiée plusieurs fois.
La typeicmp est l'un des types icmp pris en charge par firewalld. Pour obtenir une liste de
types d'icmp pris en charge : pare-feu-cmd --get-icmptypes
[--zone=Zone] --remove-icmp-block=typeicmp
Supprimer le bloc ICMP pour typeicmp de Zone. Si la zone est omise, la zone par défaut sera
utilisé. Cette option peut être spécifiée plusieurs fois.
[--zone=Zone] --query-icmp-block=typeicmp
Renvoie si un bloc ICMP pour typeicmp a été ajouté pour Zone. Si la zone est omise,
la zone par défaut sera utilisée. Renvoie 0 si vrai, 1 sinon.
[--zone=Zone] --list-forward-ports
Liste IPv4 ports de transfert ajoutés pour Zone sous forme de liste séparée par des espaces. Si la zone est omise,
la zone par défaut sera utilisée.
Pour IPv6 transférer les ports, veuillez utiliser le langage riche.
[--zone=Zone]
--ajouter-port-vers l'avant=port=portide[-portide]:proto=protocole[:porter=portide[-portide]][:toaddr=propos[/masque]]
Ajoutez le IPv4 port de transfert pour Zone. Si zone est omis, la zone par défaut sera utilisée.
Cette option peut être spécifiée plusieurs fois.
Le port peut être soit un numéro de port unique portide ou une plage de ports portide-portideL’
le protocole peut être soit tcp or udp. L'adresse de destination est une simple adresse IP.
Pour IPv6 transférer les ports, veuillez utiliser le langage riche.
[--zone=Zone]
--remove-forward-port=port=portide[-portide]:proto=protocole[:porter=portide[-portide]][:toaddr=propos[/masque]]
Retirer le IPv4 transférer le port de Zone. Si zone est omis, la zone par défaut sera utilisée.
Cette option peut être spécifiée plusieurs fois.
Pour IPv6 transférer les ports, veuillez utiliser le langage riche.
[--zone=Zone]
--query-forward-port=port=portide[-portide]:proto=protocole[:porter=portide[-portide]][:toaddr=propos[/masque]]
Retourne si le IPv4 le port de transfert a été ajouté pour Zone. Si la zone est omise,
la zone par défaut sera utilisée. Renvoie 0 si vrai, 1 sinon.
Pour IPv6 transférer les ports, veuillez utiliser le langage riche.
[--zone=Zone] --add-mascarade
Activer IPv4 mascarade pour Zone. Si zone est omis, la zone par défaut sera utilisée.
Le masquage est utile si la machine est un routeur et les machines connectées sur un
l'interface dans une autre zone devrait pouvoir utiliser la première connexion.
Pour IPv6 mascarade, veuillez utiliser le langage riche.
[--zone=Zone] --remove-mascarade
Désactiver IPv4 mascarade pour Zone. Si zone est omis, la zone par défaut sera utilisée.
Pour IPv6 mascarade, veuillez utiliser le langage riche.
[--zone=Zone] --query-mascarade
Retourne si IPv4 le masquage a été activé pour Zone. Si la zone est omise,
la zone par défaut sera utilisée. Renvoie 0 si vrai, 1 sinon.
Pour IPv6 mascarade, veuillez utiliser le langage riche.
[--zone=Zone] --list-rich-règles
Répertorier les règles de langage enrichi ajoutées pour Zone comme une liste séparée par des sauts de ligne. Si la zone est
omis, la zone par défaut sera utilisée.
[--zone=Zone] --ajouter une règle riche='exclure'
Ajouter une règle de langage enrichi 'exclure' pour Zone. Cette option peut être spécifiée plusieurs fois.
Si zone est omis, la zone par défaut sera utilisée.
Pour la syntaxe des règles de langage riche, veuillez consulter pare-feud.richlanguage (5).
[--zone=Zone] --supprimer la règle riche='exclure'
Supprimer la règle de langage enrichi 'exclure' de Zone. Cette option peut être spécifiée plusieurs
fois. Si zone est omis, la zone par défaut sera utilisée.
Pour la syntaxe des règles de langage riche, veuillez consulter pare-feud.richlanguage (5).
[--zone=Zone] --query-rich-règle='exclure'
Renvoie si une règle de langage riche 'exclure' a été ajouté pour Zone. Si la zone est
omis, la zone par défaut sera utilisée. Renvoie 0 si vrai, 1 sinon.
Pour la syntaxe des règles de langage riche, veuillez consulter pare-feud.richlanguage (5).
Options à Handle fixations of Interfaces
Lier une interface à une zone signifie que les paramètres de cette zone sont utilisés pour restreindre le trafic
via l'interface.
Les options de cette section n'affectent qu'une zone particulière. Si utilisé avec --zone=Zone option,
ils affectent la zone Zone. Si l'option est omise, ils affectent la zone par défaut (voir
--get-zone-par-défaut).
Pour une liste de zones prédéfinies, utilisez pare-feu-cmd --get-zones.
Un nom d'interface est une chaîne de 16 caractères maximum, qui ne peut pas contenir ' ', '/', '!'
ainsi que '*'.
[--zone=Zone] --list-interfaces
Lister les interfaces liées à la zone Zone sous forme de liste séparée par des espaces. Si la zone est
omis, la zone par défaut sera utilisée.
[--zone=Zone] --ajouter-interface=interface
Lier l'interface interface zoner Zone. Si zone est omis, la zone par défaut sera utilisée.
[--zone=Zone] --change-interface=interface
Changer de zone l'interface interface est lié à la zone Zone. Si la zone est omise,
la zone par défaut sera utilisée. Si l'ancienne et la nouvelle zone sont identiques, l'appel sera ignoré
sans erreur. Si l'interface n'a pas été liée à une zone auparavant, elle se comportera
comme --ajouter-interface.
[--zone=Zone] --query-interface=interface
Demander si l'interface interface est lié à la zone Zone. Renvoie 0 si vrai, 1
autrement.
[--zone=Zone] --remove-interface=interface
Supprimer la liaison de l'interface interface de la zone Zone. Si zone est omise, zone par défaut
sera utilisé.
Options à Handle fixations of Sources
Lier une source à une zone signifie que les paramètres de cette zone seront utilisés pour restreindre le trafic
de cette source.
Une adresse source ou une plage d'adresses est soit une adresse IP, soit une adresse IP réseau avec un
masque pour IPv4 ou IPv6 ou une adresse MAC (pas de masque). Pour IPv4, le masque peut être un masque de réseau
ou un nombre simple. Pour IPv6, le masque est un nombre clair. L'utilisation de noms d'hôte n'est pas
prise en charge.
Les options de cette section n'affectent qu'une zone particulière. Si utilisé avec --zone=Zone option,
ils affectent la zone Zone. Si l'option est omise, ils affectent la zone par défaut (voir
--get-zone-par-défaut).
Pour une liste de zones prédéfinies, utilisez pare-feu-cmd --get-zones.
[--zone=Zone] --list-sources
Répertorier les sources liées à la zone Zone sous forme de liste séparée par des espaces. Si la zone est
omis, la zone par défaut sera utilisée.
[--zone=Zone] --ajouter-source=la source[/masque]
Lier la source la source[/masque] à zoner Zone. Si zone est omis, la zone par défaut sera utilisée.
[--zone=Zone] --change-source=la source[/masque]
Changer de zone la source la source[/masque] est lié à la zone Zone. Si la zone est omise,
la zone par défaut sera utilisée. Si l'ancienne et la nouvelle zone sont identiques, l'appel sera ignoré
sans erreur. Si la source n'a pas été liée à une zone auparavant, elle se comportera
comme --ajouter-source.
[--zone=Zone] --source-de-requête=la source[/masque]
Demander si la source la source[/masque] est lié à la zone Zone. Renvoie 0 si vrai, 1
autrement.
[--zone=Zone] --remove-source=la source[/masque]
Supprimer la liaison de la source la source[/masque] de la zone Zone. Si la zone est omise, valeur par défaut
zone sera utilisée.
IPSet Options
--nouveau-ipset=ipset --taper=ipset type [--option=ipset option[=Plus-value]]
Ajoutez un nouvel ipset permanent en spécifiant le type et les options facultatives.
--delete-ipset=ipset
Supprimer un ipset permanent existant.
--info-ipset=ipset
Imprimer des informations sur l'ipset ipset. Le format de sortie est :
ipset
Type: type
options: option1[=valeur1] ..
entrées : entrée1 ..
--get-ipsets
Imprimez les ipsets prédéfinis sous forme de liste séparée par des espaces.
--ipset=ipset --ajouter-entrée=entrée
Ajoutez une nouvelle entrée à l'ipset.
--ipset=ipset --remove-entry=entrée
Supprimer une entrée de l'ipset.
--ipset=ipset --query-entry=entrée
Renvoie si l'entrée a été ajoutée à un ipset. Renvoie 0 si vrai, 1 sinon.
--ipset=ipset --get-entrées
Répertoriez toutes les entrées de l'ipset.
Service Options
--info-service=service
Imprimer les informations sur le service service. Le format de sortie est :
service
ports : port1 ..
protocoles: protocole1 ..
modules: module 1 ..
destination: ipv1:address1 ..
--nouveau-service=service
Ajouter un nouveau service permanent.
--delete-service=service
Supprimer un service permanent existant.
--un service=service --ajouter un port=portide[-portide]/protocole
Ajoutez un nouveau port au service permanent.
--un service=service --remove-port=portide[-portide]/protocole
Supprimer un port du service permanent.
--un service=service --query-port=portide[-portide]/protocole
Revenez si le port a été ajouté au service permanent.
--un service=service --get-ports
Liste des ports ajoutés au service permanent.
--un service=service --add-protocole=protocole
Ajouter un nouveau protocole au service permanent.
--un service=service --remove-protocole=protocole
Supprimer un protocole du service permanent.
--un service=service --query-protocole=protocole
Revenez si le protocole a été ajouté au service permanent.
--un service=service --get-protocoles
Lister les protocoles ajoutés au service permanent.
--un service=service --ajouter un module=module
Ajouter un nouveau module au service permanent.
--un service=service --remove-module=module
Supprimer un module du service permanent.
--un service=service --query-module=module
Retourner si le module a été ajouté au service permanent.
--un service=service --get-modules
Liste des modules ajoutés au service permanent.
--un service=service --ajouter une destination=au lieu de :propos[/masque]
Définissez la destination de l'ipv sur l'adresse[/mask] dans le service permanent.
--un service=service --supprimer-destination=au lieu de
Supprimez la destination pour ipv du service permanent.
--un service=service --requête-destination=au lieu de :propos[/masque]
Retourne si l'adresse ipv de destination [/mask] a été définie dans le permanent
après-vente.
--un service=service --get-destinations
Liste des destinations ajoutées au service permanent.
Internet Control Message Passerelle (ICMP) type Options
--info-icmptype=typeicmp
Imprimer des informations sur le type icmp typeicmp. Le format de sortie est :
typeicmp
destination: ipv1 ..
--nouveau-icmptype=typeicmp
Ajoutez un nouveau type d'icmp permanent.
--delete-icmptype=typeicmp
Supprimez un icmptype permanent existant.
--icmptype=typeicmp --ajouter une destination=au lieu de
Activer la destination pour ipv dans icmptype permanent. ipv est l'un des ipv4 or ipv6.
--icmptype=typeicmp --supprimer-destination=au lieu de
Désactiver la destination pour ipv dans icmptype permanent. ipv est l'un des ipv4 or ipv6.
--icmptype=typeicmp --requête-destination=au lieu de
Renvoie si la destination pour ipv est activée dans icmptype permanent. ipv est l'un des
ipv4 or ipv6.
--icmptype=typeicmp --get-destinations
Liste des destinations dans icmptype permanent.
direct et gratuit Options
Les options directes donnent un accès plus direct au pare-feu. Ces options nécessitent que l'utilisateur
connaître les concepts de base d'iptables, c'est-à-dire table (filtre/mangle/nat/...), chaîne
(ENTREE/SORTIE/AVANCE/...), commandes (-A/-D/-I/...), paramètres (-p/-s/-d/-j/...) et
objectifs (ACCEPTER/SUPPRIMER/REFUSER/...).
Les options directes ne doivent être utilisées qu'en dernier recours lorsqu'il n'est pas possible de les utiliser pour
exemple --ajouter-un service=service or --ajouter une règle riche='exclure'.
Le premier argument de chaque option doit être ipv4 or ipv6 or eb. Avec ipv4 ce sera pour
IPv4 (iptables(8)), avec ipv6 pour IPv6 (ip6tables(8)) et avec eb pour ponts ethernet
(créances(8)).
--direct --get-all-chains
Obtenez toutes les chaînes ajoutées à toutes les tables.
Cette option ne concerne que les chaînes précédemment ajoutées avec --direct --add-chaîne.
--direct --get-chaînes { ipv4 | ipv6 | eb } table
Obtenez toutes les chaînes ajoutées à la table table sous forme de liste séparée par des espaces.
Cette option ne concerne que les chaînes précédemment ajoutées avec --direct --add-chaîne.
--direct --add-chaîne { ipv4 | ipv6 | eb } table chaîne
Ajouter une nouvelle chaîne avec le nom chaîne à la table table.
Il existe déjà des chaînes basiques à utiliser avec des options directes, par exemple ENTREE_directe
chaîne (voir iptables-sauvegarder | grep sortie pour tous). Ces chaînes sont
sauté dans les chaînes avant pour les zones, c'est-à-dire chaque règle mise en ENTREE_directe sera
vérifié avant les règles dans les zones.
--direct --remove-chaîne { ipv4 | ipv6 | eb } table chaîne
Retirez la chaîne avec le nom chaîne de la table table.
--direct --chaîne de requête { ipv4 | ipv6 | eb } table chaîne
Retourne si une chaîne avec le nom chaîne existe dans le tableau table. Renvoie 0 si vrai, 1
autrement.
Cette option ne concerne que les chaînes précédemment ajoutées avec --direct --add-chaîne.
--direct --obtenir-toutes-les-règles
Obtenez toutes les règles ajoutées à toutes les chaînes dans toutes les tables sous la forme d'une liste séparée par une nouvelle ligne du
priorité et arguments.
--direct --get-règles { ipv4 | ipv6 | eb } table chaîne
Obtenez toutes les règles ajoutées à la chaîne chaîne dans le tableau table comme une liste séparée par des sauts de ligne des
priorité et arguments.
--direct --ajouter une règle { ipv4 | ipv6 | eb } table chaîne priorité args
Ajouter une règle avec les arguments args enchaîner chaîne dans le tableau table avec priorité
priorité.
La priorité est utilisé pour ordonner les règles. La priorité 0 signifie ajouter une règle en haut de la chaîne,
avec une priorité plus élevée, la règle sera ajoutée plus bas. Règles avec le même
priorité sont au même niveau et l'ordre de ces règles n'est pas fixe et peut
monnaie. Si vous voulez vous assurer qu'une règle sera ajoutée après une autre, utilisez un
priorité faible pour le premier et plus élevée pour le suivant.
--direct --remove-règle { ipv4 | ipv6 | eb } table chaîne priorité args
Supprimer une règle avec priorité et les arguments args de la chaîne chaîne dans le tableau table.
--direct --remove-règles { ipv4 | ipv6 | eb } table chaîne
Supprimer toutes les règles de la chaîne avec le nom chaîne existe dans le tableau table.
Cette option ne concerne que les règles préalablement ajoutées avec --direct --ajouter une règle dans ce
chaîne.
--direct --requête-règle { ipv4 | ipv6 | eb } table chaîne priorité args
Renvoie si une règle avec priorité et les arguments args existe en chaîne chaîne in
table table. Renvoie 0 si vrai, 1 sinon.
--direct --get-all-passthroughs
Obtenez tous les passthrough permanents sous forme de liste séparée par une nouvelle ligne de la valeur ipv et
arguments.
--direct --get-passthroughs { ipv4 | ipv6 | eb }
Obtenez toutes les règles de passthrough permanentes pour la valeur ipv sous la forme d'une liste séparée par une nouvelle ligne de
la priorité et les arguments.
--direct --ajouter un passage { ipv4 | ipv6 | eb } args
Ajouter une règle de passthrough permanente avec les arguments args pour la valeur ipv.
--direct --remove-passthrough { ipv4 | ipv6 | eb } args
Supprimer une règle de passthrough permanente avec les arguments args pour la valeur ipv.
--direct --query-passthrough { ipv4 | ipv6 | eb } args
Renvoie si une règle de passthrough permanente avec les arguments args existe pour l'ipv
valeur. Renvoie 0 si vrai, 1 sinon.
Lockdown Options
Les applications ou services locaux peuvent modifier la configuration du pare-feu s'ils sont
exécutés en tant que root (exemple : libvirt) ou sont authentifiés à l'aide de PolicyKit. Avec cette fonctionnalité
les administrateurs peuvent verrouiller la configuration du pare-feu afin que seules les applications verrouillées
liste blanche peuvent demander des modifications de pare-feu.
Le contrôle d'accès de verrouillage limite les méthodes D-Bus qui modifient les règles de pare-feu. Mettre en doute,
Les méthodes list et get ne sont pas limitées.
La fonction de verrouillage est une version très légère des politiques d'utilisateur et d'application pour
firewalld et est désactivé par défaut.
--verrouillage-sur
Activer le verrouillage. Soyez prudent - si firewall-cmd n'est pas sur la liste blanche de verrouillage lorsque vous
activer le verrouillage, vous ne pourrez plus le désactiver avec firewall-cmd, vous le feriez
besoin de modifier firewalld.conf.
--confinement
Désactiver le verrouillage.
--query-lockdown
Demande si le verrouillage est activé. Renvoie 0 si le verrouillage est activé, 1 sinon.
Lockdown whitelist Options
La liste blanche de verrouillage peut contenir commandes, contextes, utilisateurs ainsi que utilisateur ids.
Si une entrée de commande sur la liste blanche se termine par un astérisque '*', alors toutes les lignes de commande
en commençant par la commande correspondra. Si le '*' n'est pas là, la commande absolue
les arguments inclusifs doivent correspondre.
Les commandes pour l'utilisateur root et les autres ne sont pas toujours les mêmes. Exemple : En tant que root
/bin/firewall-cmd est utilisé, comme un utilisateur normal /usr/bin/firewall-cmd est utilisé sur Fedora.
Le contexte est le contexte de sécurité (SELinux) d'une application ou d'un service en cours d'exécution. Obtenir
le contexte d'utilisation d'une application en cours d'exécution ps -e --le contexte.
Mise en garde: Si le contexte n'est pas limité, cela ouvrira l'accès pour plus de la
application souhaitée.
Les entrées de la liste blanche de verrouillage sont vérifiées dans l'ordre suivant :
1. contexte
2. uid
3. utilisateur
4. commander
--list-lockdown-whitelist-commandes
Répertoriez toutes les lignes de commande figurant sur la liste blanche.
--add-lockdown-whitelist-commande=commander
Ajoutez le commander à la liste blanche.
--remove-lockdown-whitelist-commande=commander
Retirer le commander de la liste blanche.
--query-lockdown-whitelist-commande=commander
Demandez si le commander est sur la liste blanche. Renvoie 0 si vrai, 1 sinon.
--list-lockdown-whitelist-contexts
Répertoriez tous les contextes figurant sur la liste blanche.
--add-lockdown-whitelist-context=contexte
Ajouter le contexte contexte à la liste blanche.
--remove-lockdown-whitelist-context=contexte
Retirer le contexte de la liste blanche.
--query-lockdown-liste blanche-contexte=contexte
Demandez si le contexte est sur la liste blanche. Renvoie 0 si vrai, 1 sinon.
--list-lockdown-liste blanche-uids
Répertoriez tous les identifiants d'utilisateurs figurant sur la liste blanche.
--add-lockdown-whitelist-uid=uid
Ajouter l'identifiant de l'utilisateur uid à la liste blanche.
--remove-lockdown-liste-blanche-uid=uid
Supprimer l'identifiant de l'utilisateur uid de la liste blanche.
--query-lockdown-liste blanche-uid=uid
Demander si l'identifiant de l'utilisateur uid est sur la liste blanche. Renvoie 0 si vrai, 1 sinon.
--list-lockdown-liste blanche-utilisateurs
Répertoriez tous les noms d'utilisateurs figurant sur la liste blanche.
--add-lockdown-whitelist-utilisateur=utilisateur
Ajoutez le nom d'utilisateur utilisateur à la liste blanche.
--remove-lockdown-whitelist-user=utilisateur
Supprimer le nom d'utilisateur utilisateur de la liste blanche.
--query-lockdown-whitelist-utilisateur=utilisateur
Demande si le nom d'utilisateur utilisateur est sur la liste blanche. Renvoie 0 si vrai, 1 sinon.
Politique Options
--policy-serveur
Changer les actions Polkit en 'serveur' (plus restreint)
--policy-bureau
Changer les actions Polkit en 'desktop' (moins restreint)
Utilisez firewall-offline-cmd en ligne à l'aide des services onworks.net
