これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド firewall-cmd です。
プログラム:
NAME
firewall-cmd - ファイアウォールコマンドラインクライアント
SYNOPSIS
ファイアウォールコマンド [オプション...]
DESCRIPTION
firewall-cmd は、firewalld デーモンのコマンド ライン クライアントです。 インターフェイスを提供します
実行時および永続的な構成を管理します。
firewalld の実行時構成は、永続的な構成から分離されています。 これ
これは、実行時または永続的な構成で内容が変更される可能性があることを意味します。
OPTIONS
次のオプションがサポートされています。
全般 オプション
-h, - 助けて
短いヘルプテキストを出力して終了します。
-V, - バージョン
firewalld のバージョン文字列を出力します。 このオプションは他のオプションと組み合わせることはできません
オプション。
-q, - 静かな
ステータスメッセージを出力しません。
ステータス オプション
- 州
firewalld デーモンがアクティブである (つまり、実行されている) かどうかを確認します。 次の場合は終了コード 0 を返します。
それはアクティブです、 走っていない それ以外の場合は (「終了コード」のセクションを参照)。 この意志
状態も出力します 標準出力.
-リロード
ファイアウォール ルールをリロードし、状態情報を保持します。 現在の永続的な構成は、
新しいランタイム構成になります。つまり、リロードされるまでに行われたすべてのランタイムのみの変更は、
永続的な構成になっていない場合、リロードすると失われます。
--完全リロード
netfilter カーネル モジュールも含め、ファイアウォールを完全にリロードします。 これはおそらく
状態情報が失われるため、アクティブな接続を終了します。 このオプションは、
ファイアウォールに重大な問題が発生した場合にのみ使用してください。 たとえば状態がある場合
正しいファイアウォールで接続を確立できないという情報の問題
ルール。
-- ランタイムからパーマネントへ
アクティブなランタイム構成を保存し、それを使用して永続的な構成を上書きします。 の
これが機能するはずの方法は、firewalld を構成するときにランタイムの変更を行うことです。
構成に満足し、そのように動作することをテストした場合のみ
必要に応じて、構成をディスクに保存します。
--get-log-denied
ログ拒否設定を出力します。
--set-log-denied=値
INPUT、FORWARD、OUTPUT の拒否ルールとドロップ ルールの直前にログ ルールを追加します。
デフォルト ルールのチェーンと、ゾーン内の最終的な拒否ルールとドロップ ルール
設定されたリンク層パケットタイプ。 可能な値は次のとおりです。 を, ユニキャスト, 放送,
マルチキャスト OFF。 デフォルト設定は OFF、ログ記録が無効になります。
これは実行時および永続的な変更であり、ファイアウォールもリロードされて、次のことが可能になります。
ロギングルールを追加します。
正社員 オプション
- 永続
永久オプション - 永続 オプションを永続的に設定するために使用できます。 これらの変更
すぐに有効になるわけではなく、サービスの再起動/リロードまたはシステムの再起動後にのみ有効になります。
なし - 永続 オプションを使用すると、変更はランタイムの一部のみになります。
構成。
実行時設定と永続的な設定を変更する場合は、同じ呼び出しを使用します。
ありとなし - 永続 オプションを選択します。
当学校区の - 永続 オプションは、その下にあるすべてのオプションにオプションで追加できます。
。
ゾーン オプション
--get-デフォルトゾーン
接続とインターフェースのデフォルトゾーンを印刷します。
--set-デフォルトゾーン=ゾーン
ゾーンが選択されていない接続とインターフェースのデフォルトゾーンを設定します。
デフォルトゾーンを設定すると、接続またはインターフェイスのゾーンが変更されます。
デフォルトゾーンを使用します。
これは実行時および永続的な変更です。
--get-アクティブゾーン
現在アクティブなゾーンを、これらのゾーンで使用されているインターフェイスとソースとともに印刷します。
ゾーン。 アクティブ ゾーンは、インターフェイスまたはソースへのバインディングを持つゾーンです。 の
出力形式は次のとおりです。
ゾーン1
インタフェース: インターフェイス1 インターフェイス2 ..
情報源: source1 ..
ゾーン2
インタフェース: インターフェイス3 ..
ゾーン3
情報源: source2 ..
ゾーンにバインドされたインターフェイスまたはソースがない場合、対応する行は
省略してください。
[- 永続] --get-zones
事前定義されたゾーンをスペースで区切られたリストとして印刷します。
[- 永続] --get-services
事前定義されたサービスをスペースで区切られたリストとして印刷します。
[- 永続] --get-icmptypes
事前定義されたicmptypeをスペース区切りのリストとして出力します。
[- 永続] --get-インターフェースのゾーン=インタフェース
ゾーンの名前を印刷します インタフェース またはにバインドされています いいえ ゾーン.
[- 永続] --get-ソースのゾーン=source[/mask]
ゾーンの名前を印刷します source[/mask]はまたはにバインドされています いいえ ゾーン.
[- 永続] --info-zone =ゾーン
ゾーンに関する情報を印刷する ゾーン。 出力形式は次のとおりです。
ゾーン
インタフェース: インターフェイス1 ..
情報源: source1 ..
サービス: service1 ..
ポート: port1 ..
プロトコル: プロトコル1 ..
フォワードポート:
転送ポート 1
..
icmp-blocks: icmp-type1 ..
豊富なルール:
リッチルール1
..
[- 永続] --list-all-zones
すべてのゾーンで追加または有効になっているものをすべて一覧表示します。 出力形式は次のとおりです。
ゾーン1
インタフェース: インターフェイス1 ..
情報源: source1 ..
サービス: service1 ..
ポート: port1 ..
プロトコル: プロトコル1 ..
フォワードポート:
転送ポート 1
..
icmp-blocks: icmp-type1 ..
豊富なルール:
リッチルール1
..
..
- 永続 -- 新しいゾーン=ゾーン
新しいパーマネントゾーンを追加します。
- 永続 --ゾーンの削除=ゾーン
既存のパーマネントゾーンを削除します。
- 永続 [- ゾーン=ゾーン] --get ターゲット
パーマネントゾーンのターゲットを取得します。
- 永続 [- ゾーン=ゾーン] --set-target=ターゲット
パーマネントゾーンのターゲットを設定します。 ターゲット の一つであります: デフォルト, 同意, DROP, 拒否
オプション 〜へ 適応する クエリー ゾーン
このセクションのオプションは、XNUMXつの特定のゾーンにのみ影響します。 一緒に使用する場合 - ゾーン=ゾーン オプション、
それらはゾーンに影響を与えます ゾーン。 このオプションを省略すると、デフォルトのゾーンに影響します(を参照)。
--get-デフォルトゾーン).
[- 永続] [- ゾーン=ゾーン] -リスト-すべて
追加または有効化されたものをすべて一覧表示します ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
中古。
[- 永続] [- ゾーン=ゾーン] --リストサービス
追加されたサービスのリスト ゾーン スペースで区切られたリストとして。 ゾーンを省略した場合、デフォルト
ゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --サービスを追加=サービス [- タイムアウト=タイムヴァル]
のサービスを追加する ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 このオプションは
複数回指定することもできます。 タイムアウトが指定されている場合、ルールは次の期間有効になります。
指定された期間が経過すると、自動的に削除されます。 タイムヴァル is
数値(秒数)または数値の後に文字のXNUMXつが続く s (秒)、 m
(分)、 h (時間)、例えば 20m or 1h.
このサービスは、firewalldが提供するサービスのXNUMXつです。 サポートされているリストを取得するには
サービス、使用 ファイアウォールコマンド --get-services.
当学校区の - タイムアウト オプションは、 - 永続 オプションを選択します。
[- 永続] [- ゾーン=ゾーン] -- サービスの削除=サービス
からサービスを削除します ゾーン。 このオプションは複数回指定できます。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --クエリサービス=サービス
返すかどうか サービス のために追加されました ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
利用される。 trueの場合は0を返し、それ以外の場合は1を返します。
[- 永続] [- ゾーン=ゾーン] --リスト-ポート
追加されたポートのリスト ゾーン スペースで区切られたリストとして。 ポートの形式は
ポートイド[-ポートイド]/ 、ポートとプロトコルのペアまたはポート範囲のいずれかです。
プロトコルで。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --ポートの追加=ポートイド[-ポートイド]/ [- タイムアウト=タイムヴァル]
のポートを追加します ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 このオプションは
複数回指定することもできます。 タイムアウトが指定されている場合、ルールは次の期間有効になります。
指定された期間が経過すると、自動的に削除されます。 タイムヴァル is
数値(秒数)または数値の後に文字のXNUMXつが続く s (秒)、 m
(分)、 h (時間)、例えば 20m or 1h.
ポートは、単一のポート番号またはポート範囲のいずれかです。 ポートイド-ポートイドを選択します。
プロトコルは次のいずれかになります TCP or UDP.
当学校区の - タイムアウト オプションは、 - 永続 オプションを選択します。
[- 永続] [- ゾーン=ゾーン] -- ポートの削除=ポートイド[-ポートイド]/
からポートを削除します ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 このオプション
複数回指定できます。
[- 永続] [- ゾーン=ゾーン] --クエリポート=ポートイド[-ポートイド]/
ポートが追加されているかどうかを返します ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
利用される。 trueの場合は0を返し、それ以外の場合は1を返します。
[- 永続] [- ゾーン=ゾーン] --list-プロトコル
追加されたプロトコルのリスト ゾーン スペースで区切られたリストとして。 ゾーンを省略した場合、デフォルト
ゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --プロトコルを追加= [- タイムアウト=タイムヴァル]
のプロトコルを追加します ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 このオプション
複数回指定できます。 タイムアウトが指定された場合、ルールは次の場合にアクティブになります
指定された時間であり、その後自動的に削除されます。 タイムヴァル is
数値(秒数)または数値の後に文字のXNUMXつが続く s (秒)、 m
(分)、 h (時間)、例えば 20m or 1h.
プロトコルは、システムでサポートされている任意のプロトコルにすることができます。 ご覧ください
/ etc / protocols サポートされているプロトコルの場合。
当学校区の - タイムアウト オプションは、 - 永続 オプションを選択します。
[- 永続] [- ゾーン=ゾーン] -- 削除プロトコル=
からプロトコルを削除します ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 これ
オプションは複数回指定できます。
[- 永続] [- ゾーン=ゾーン] -クエリプロトコル=
プロトコルが追加されているかどうかを返します ゾーン。 ゾーンを省略した場合、デフォルトのゾーン
使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
[- 永続] [- ゾーン=ゾーン] --list-icmp-blocks
に追加されたインターネット制御メッセージプロトコル(ICMP)タイプのブロックを一覧表示します ゾーン スペースとして
分離されたリスト。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --add-icmp-ブロック=icmpタイプ [- タイムアウト=タイムヴァル]
のICMPブロックを追加します icmpタイプ の ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
使用済み。 このオプションは複数回指定できます。 タイムアウトが指定されている場合、ルールは
指定された期間アクティブになり、自動的に削除されます
その後。 タイムヴァル 数値 (秒)、または数値の後に次のいずれかが続きます。
文字 s (秒)、 m (分)、 h (時間)、例えば 20m or 1h.
当学校区の icmpタイプ はfirewalldがサポートするicmpタイプのXNUMXつです。 のリストを取得するには
サポートされているicmpタイプ: ファイアウォールコマンド --get-icmptypes
当学校区の - タイムアウト オプションは、 - 永続 オプションを選択します。
[- 永続] [- ゾーン=ゾーン] --remove-icmp-block=icmpタイプ
のICMPブロックを削除します icmpタイプ from ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
使用済み。 このオプションは複数回指定できます。
[- 永続] [- ゾーン=ゾーン] --クエリ-icmp-ブロック=icmpタイプ
のICMPブロックが icmpタイプ のために追加されました ゾーン。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
[- 永続] [- ゾーン=ゾーン] --list-forward-ports
リスト IPv4 転送ポートが追加されました ゾーン スペースで区切られたリストとして。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。
IPv6 転送ポートについては、豊富な言語を使用してください。
[- 永続] [- ゾーン=ゾーン]
--add-forward-ポート=ポート=ポートイド[-ポートイド]:proto = [:toport =ポートイド[-ポートイド]] [:toaddr =住所[/mask]]
[- タイムアウト=タイムヴァル]
加えます IPv4 の転送ポート ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
このオプションは複数回指定できます。 タイムアウトが指定されている場合、ルールは次のようになります。
指定された期間アクティブになり、自動的に削除されます
その後。 タイムヴァル 数値 (秒)、または数値の後に次のいずれかが続きます。
文字 s (秒)、 m (分)、 h (時間)、例えば 20m or 1h.
ポートは単一のポート番号にすることができます ポートイド またはポート範囲 ポートイド-ポートイドを選択します。
プロトコルは次のいずれかになります TCP or UDP。 宛先アドレスは単純なIPアドレスです。
当学校区の - タイムアウト オプションは、 - 永続 オプションを選択します。
IPv6 転送ポートについては、豊富な言語を使用してください。
[- 永続] [- ゾーン=ゾーン]
--転送ポートを削除=ポート=ポートイド[-ポートイド]:proto = [:toport =ポートイド[-ポートイド]] [:toaddr =住所[/mask]]
削除する IPv4 からの転送ポート ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
このオプションは複数回指定できます。
IPv6 転送ポートについては、豊富な言語を使用してください。
[- 永続] [- ゾーン=ゾーン]
--クエリ転送ポート=ポート=ポートイド[-ポートイド]:proto = [:toport =ポートイド[-ポートイド]] [:toaddr =住所[/mask]]
を返すかどうか IPv4 転送ポートが追加されました ゾーン。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
IPv6 転送ポートについては、豊富な言語を使用してください。
[- 永続] [- ゾーン=ゾーン] -追加-マスカレード [- タイムアウト=タイムヴァル]
有効にする IPv4 仮面舞踏会 ゾーン。 ゾーンを省略した場合は、デフォルトのゾーンが使用されます。 もし
タイムアウトが指定されている場合、マスカレードは指定された時間だけアクティブになります。
タイムヴァル 数値 (秒)、または数値の後にいずれかの文字が続くかのいずれかです s
(秒)、 m (分)、 h (時間)、例えば 20m or 1h。 マスカレードは次の場合に便利です
マシンはルーターであり、マシンは別のゾーンのインターフェイスを介して接続されています
最初の接続を使用できるはずです。
当学校区の - タイムアウト オプションは、 - 永続 オプションを選択します。
IPv6 マスカレード、豊かな言葉を使ってください。
[- 永続] [- ゾーン=ゾーン] -削除-マスカレード
無効にします IPv4 仮面舞踏会 ゾーン。 ゾーンを省略した場合は、デフォルトのゾーンが使用されます。 もしも
マスカレードがタイムアウトで有効になっていた場合、それも無効になります。
IPv6 マスカレード、豊かな言葉を使ってください。
[- 永続] [- ゾーン=ゾーン] -クエリマスカレード
返すかどうか IPv4 マスカレードが有効になっています ゾーン。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
IPv6 マスカレード、豊かな言葉を使ってください。
[- 永続] [- ゾーン=ゾーン] --リストリッチルール
追加された豊富な言語ルールを一覧表示 ゾーン 改行で区切られたリストとして。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --リッチルールを追加='ルール' [- タイムアウト=タイムヴァル]
豊富な言語ルールを追加する 'ルール' にとって ゾーン。 このオプションは複数回指定できます。
ゾーンを省略した場合は、デフォルトのゾーンが使用されます。 タイムアウトが指定されている場合、 ルール 意志
指定された期間アクティブになり、自動的に削除されます
その後。 タイムヴァル 数値 (秒)、または数値の後に次のいずれかが続きます。
文字 s (秒)、 m (分)、 h (時間)、例えば 20m or 1h.
豊富な言語ルールの構文については、以下をご覧ください。 Firewalld.richlanguageとします。
当学校区の - タイムアウト オプションは、 - 永続 オプションを選択します。
[- 永続] [- ゾーン=ゾーン] -- リッチ ルールの削除='ルール'
豊富な言語ルールを削除する 'ルール'から ゾーン。 このオプションは複数指定できます
回数。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
豊富な言語ルールの構文については、以下をご覧ください。 Firewalld.richlanguageとします。
[- 永続] [- ゾーン=ゾーン] --クエリリッチルール='ルール'
豊富な言語ルールかどうかを返す 'ルール'が追加されました ゾーン。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
豊富な言語ルールの構文については、以下をご覧ください。 Firewalld.richlanguageとします。
オプション 〜へ Handle バインディング of インターフェース
インターフェイスをゾーンにバインドするということは、このゾーン設定がトラフィックを制限するために使用されることを意味します
インターフェイス経由。
このセクションのオプションは、XNUMXつの特定のゾーンにのみ影響します。 一緒に使用する場合 - ゾーン=ゾーン オプション、
それらはゾーンに影響を与えます ゾーン。 このオプションを省略すると、デフォルトのゾーンに影響します(を参照)。
--get-デフォルトゾーン).
事前定義されたゾーンのリストについては、 ファイアウォールコマンド --get-zones.
インターフェイス名は最大16文字の文字列であり、含まれていない場合があります ' ', 「/」, 「!」
「*」.
[- 永続] [- ゾーン=ゾーン] --list-interfaces
ゾーンにバインドされているインターフェイスを一覧表示します ゾーン スペースで区切られたリストとして。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --add-interface=インタフェース
バインドインターフェイス インタフェース ゾーンへ ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
NetworkManager (または従来の
ネットワーク サービス) は、(に従って) インターフェイスをゾーンに自動的に追加します。 ゾーン= オプション
ifcfgから-インタフェース ファイル)の場合 NM_CONTROLLED=いいえ は設定されていません。 次の場合にのみ実行する必要があります
/etc/sysconfig/network-scripts/ifcfg- はありませんインタフェース ファイル。 そのようなファイルがあれば
これでゾーンにインターフェースを追加します --add-interface オプションで、ゾーンが
どちらの場合も同じです。そうでない場合、動作は未定義になります。 もお持ちください。
あなたを見て ファイアウォール(1) のマニュアルページ コンセプト セクション。 永続的な関連付けの場合
ゾーンとのインターフェイスについては、「接続のゾーンを設定または変更する方法」も参照してください。 の
ファイアウォールゾーンとします。
[- ゾーン=ゾーン] --変更インターフェイス=インタフェース
インターフェイスのゾーンを変更します インタフェース ゾーンにバインドされています ゾーン。 それは基本的にです
-- 削除インターフェース 続い --add-interface。 インターフェースがバインドされていない場合
前のゾーンでは次のように動作します --add-interface。 ゾーンを省略した場合、デフォルトのゾーンは
利用される。
[- 永続] [- ゾーン=ゾーン] -- クエリ インターフェイス=インタフェース
インターフェイスかどうかを照会する インタフェース ゾーンにバインドされています ゾーン。 trueの場合は0を返し、1を返します
さもないと。
[- 永続] -- 削除インターフェース=インタフェース
インターフェイスのバインディングを削除します インタフェース 以前に追加されたゾーンから。
オプション 〜へ Handle バインディング of ソース
ソースをゾーンにバインドするということは、このゾーン設定がトラフィックを制限するために使用されることを意味します
このソースから。
送信元アドレスまたはアドレス範囲は、IPアドレスまたはネットワークIPアドレスのいずれかです。
IPv4またはIPv6のマスクまたはMACアドレス(マスクなし)。 IPv4の場合、マスクはネットワークマスクにすることができます
またはプレーンな番号。 IPv6の場合、マスクは単純な数値です。 ホスト名の使用は
。
このセクションのオプションは、XNUMXつの特定のゾーンにのみ影響します。 一緒に使用する場合 - ゾーン=ゾーン オプション、
それらはゾーンに影響を与えます ゾーン。 このオプションを省略すると、デフォルトのゾーンに影響します(を参照)。
--get-デフォルトゾーン).
事前定義されたゾーンのリストについては、 ファイアウォールコマンド [ - 永続] --get-zones.
[- 永続] [- ゾーン=ゾーン] --リストソース
ゾーンにバインドされているソースを一覧表示します ゾーン スペースで区切られたリストとして。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --ソースを追加=source[/mask]
ソースをバインド source[/mask]ゾーンへ ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --ソースの変更=source[/mask]
ソースのゾーンを変更します source[/mask]はゾーンにバインドされています ゾーン。 それは基本的にです
-削除-ソース 続い --ソースを追加。 ソースがゾーンにバインドされていない場合
以前は次のように動作します --ソースを追加。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
[- 永続] [- ゾーン=ゾーン] --クエリソース=source[/mask]
ソースかどうかをクエリします source[/mask]はゾーンにバインドされています ゾーン。 trueの場合は0を返し、1を返します
さもないと。
[- 永続] -削除-ソース=source[/mask]
ソースのバインディングを削除します source[/mask] 以前に追加されたゾーンから。
IPセット オプション
- 永続 --新しい-ipset=ipset - タイプ=ipset type [- オプション=ipset オプション[=値]]
タイプとオプションのオプションを指定して、新しい永続的なipsetを追加します。
- 永続 --delete-ipset=ipset
既存の永続的なipsetを削除します。
[- 永続] --info-ipset =ipset
ipsetに関する情報を出力します ipset。 出力形式は次のとおりです。
ipset
タイプ: type
オプション: option1 [= value1] ..
エントリ: エントリー1 ..
[- 永続] --get-ipsets
事前定義されたipsetをスペースで区切られたリストとして出力します。
[- 永続] --ipset=ipset --エントリを追加=エントリ
ipsetに新しいエントリを追加します。
[- 永続] --ipset=ipset --エントリの削除=エントリ
ipsetからエントリを削除します。
[- 永続] --ipset=ipset --クエリエントリ=エントリ
エントリがipsetに追加されているかどうかを返します。 trueの場合は0を返し、それ以外の場合は1を返します。
[- 永続] --ipset=ipset --get エントリ
ipsetのすべてのエントリを一覧表示します。
サービス オプション
このセクションのオプションは、XNUMX つの特定のサービスにのみ影響します。
[- 永続] --info-service =サービス
サービスに関する情報を印刷する サービス。 出力形式は次のとおりです。
サービス
ポート: port1 ..
プロトコル: プロトコル1 ..
モジュール: module1 ..
行き先: ipv1:address1 ..
次のオプションは、永続的な構成でのみ使用できます。
- 永続 -新しいサービス=サービス
新しい永続的なサービスを追加します。
- 永続 --サービスの削除=サービス
既存の永続サービスを削除します。
- 永続 - サービス=サービス --ポートの追加=ポートイド[-ポートイド]/
永続サービスに新しいポートを追加します。
- 永続 - サービス=サービス -- ポートの削除=ポートイド[-ポートイド]/
パーマネントサービスからポートを削除します。
- 永続 - サービス=サービス --クエリポート=ポートイド[-ポートイド]/
ポートが永続サービスに追加されたかどうかを返します。
- 永続 - サービス=サービス --get ポート
永続サービスに追加されたポートを一覧表示します。
- 永続 - サービス=サービス --プロトコルを追加=
永続サービスに新しいプロトコルを追加します。
- 永続 - サービス=サービス -削除-プロトコル=
永続サービスからプロトコルを削除します。
- 永続 - サービス=サービス -クエリプロトコル=
プロトコルが永続サービスに追加されたかどうかを返します。
- 永続 - サービス=サービス --get-プロトコル
永続サービスに追加されたプロトコルを一覧表示します。
- 永続 - サービス=サービス --add-モジュール=モジュール
永続サービスに新しいモジュールを追加します。
- 永続 - サービス=サービス -- 削除モジュール=モジュール
永続的なサービスからモジュールを削除します。
- 永続 - サービス=サービス --クエリモジュール=モジュール
モジュールが永続サービスに追加されたかどうかを返します。
- 永続 - サービス=サービス --get モジュール
永続サービスに追加されたモジュールを一覧表示します。
- 永続 - サービス=サービス -追加-宛先=その代わり:住所[/mask]
ipvの宛先をパーマネントサービスのaddress [/ mask]に設定します。
- 永続 - サービス=サービス -削除-宛先=その代わり
ipvの宛先を永続サービスから削除します。
- 永続 - サービス=サービス -クエリ-宛先=その代わり:住所[/mask]
アドレス[/ mask]への宛先ipvがパーマネントに設定されているかどうかを返します
サービス。
- 永続 - サービス=サービス --get-destinations
常設サービスに追加された宛先を一覧表示します。
インターネット 管理 お問い合わせ内容 プロトコル (ICMP) type オプション
このセクションのオプションは、特定の XNUMX つの icmptype にのみ影響します。
[- 永続] --info-icmptype =icmpタイプ
icmptypeに関する情報を出力します icmpタイプ。 出力形式は次のとおりです。
icmpタイプ
行き先: ipv1 ..
次のオプションは、永続的な構成でのみ使用できます。
- 永続 --新しい-icmptype=icmpタイプ
新しい永続的なicmptypeを追加します。
- 永続 --delete-icmptype=icmpタイプ
既存の永続的なicmptypeを削除します。
- 永続 --icmptype=icmpタイプ -追加-宛先=その代わり
永続的なicmptypeでipvの宛先を有効にします。 ipvはのXNUMXつです ipv4 or ipv6.
- 永続 --icmptype=icmpタイプ -削除-宛先=その代わり
永続的なicmptypeでipvの宛先を無効にします。 ipvはのXNUMXつです ipv4 or ipv6.
- 永続 --icmptype=icmpタイプ -クエリ-宛先=その代わり
ipvの宛先が永続的なicmptypeで有効になっているかどうかを返します。 ipvはのXNUMXつです
ipv4 or ipv6.
- 永続 --icmptype=icmpタイプ --get-destinations
永続的なicmptypeで宛先を一覧表示します。
直接 オプション
直接オプションを使用すると、ファイアウォールに直接アクセスできます。 これらのオプションにはユーザーが必要です
基本的なiptablesの概念を知るため、すなわち テーブル (filter / mangle / nat / ...)、 チェーン
(入力/出力/転送/ ...)、 コマンド (-A / -D / -I / ...)、 パラメータ (-p / -s / -d / -j / ...)および
ターゲット (ACCEPT / DROP / REJECT / ...)。
直接オプションは、次の目的で使用できない場合の最後の手段としてのみ使用する必要があります
例 --サービスを追加=サービス or --リッチルールを追加='ルール'.
各オプションの最初の引数は ipv4 or ipv6 or eb ipv4 それは
IPv4(iptables(8))、 ipv6 IPv6の場合(ip6tables(8))そして eb イーサネットブリッジ用
(ebtables(8))。
[- 永続] - 直接 --get-all-chains
すべてのテーブルに追加されたすべてのチェーンを取得します。 このオプションは、以前に追加されたチェーンのみに関係します
- 直接 --チェーンを追加.
[- 永続] - 直接 --get-chains { ipv4 | ipv6 | eb } テーブル
すべてのチェーンをテーブルに追加します テーブル スペース区切りのリストとして。 このオプションに関係するのは、
以前に追加されたチェーンのみ - 直接 --チェーンを追加.
[- 永続] - 直接 --チェーンを追加 { ipv4 | ipv6 | eb } テーブル チェーン
名前の付いた新しいチェーンを追加します チェーン テーブルへ テーブル。 他にチェーンがないことを確認してください
もうこの名前。
たとえば、直接オプションで使用する基本的なチェーンはすでに存在します INPUT_direct
チェーン(を参照) iptables-保存 | grep 直接 それらすべての出力)。 これらのチェーンは
ゾーンのチェーンの前に飛び込んだ、つまりすべてのルールが INPUT_direct なります
ゾーンのルールの前にチェックされます。
[- 永続] - 直接 --チェーンの削除 { ipv4 | ipv6 | eb } テーブル チェーン
名前付きチェーンを削除します チェーン テーブルから テーブル。 以前に追加されたチェーンのみ
- 直接 --チェーンを追加 この方法で削除できます。
[- 永続] - 直接 -クエリチェーン { ipv4 | ipv6 | eb } テーブル チェーン
名前の付いたチェーンかどうかを返す チェーン テーブルに存在します テーブル。 trueの場合は0を返し、1を返します
さもないと。 このオプションは、以前に追加されたチェーンのみに関係します。 - 直接
--チェーンを追加.
[- 永続] - 直接 --get-all-rules
すべてのテーブルのすべてのチェーンに追加されたすべてのルールを、改行で区切られたリストとして取得します。
優先順位と引数。 このオプションは、以前に追加されたルールのみに関係します。 - 直接
--ルールを追加.
[- 永続] - 直接 --get-rules { ipv4 | ipv6 | eb } テーブル チェーン
チェーンに追加されたすべてのルールを取得する チェーン テーブルで テーブル の改行区切りリストとして
優先順位と引数。 このオプションは、以前に追加されたルールのみに関係します。 - 直接
--ルールを追加.
[- 永続] - 直接 --ルールを追加 { ipv4 | ipv6 | eb } テーブル チェーン 優先順位 引数
引数を使用してルールを追加します 引数 チェーンする チェーン テーブルで テーブル 優先して
優先順位.
当学校区の 優先順位 ルールの注文に使用されます。 優先度0は、チェーンの最上位にルールを追加することを意味します。
優先度が高いほど、ルールはさらに下に追加されます。 同じルール
優先度は同じレベルであり、これらのルールの順序は固定されておらず、
変化する。 ルールが次々に追加されることを確認したい場合は、
最初の優先度は低く、次の優先度は高くなります。
[- 永続] - 直接 --ルールの削除 { ipv4 | ipv6 | eb } テーブル チェーン 優先順位 引数
でルールを削除する 優先順位 と引数 引数 チェーンから チェーン テーブルで テーブル.
以前に追加されたルールのみ - 直接 --ルールを追加 この方法で削除できます。
[- 永続] - 直接 --ルールの削除 { ipv4 | ipv6 | eb } テーブル チェーン
名前の付いたチェーン内のすべてのルールを削除します チェーン テーブルに存在します テーブル。 このオプション
以前に追加されたルールのみに関係します - 直接 --ルールを追加 この連鎖の中で。
[- 永続] - 直接 --クエリルール { ipv4 | ipv6 | eb } テーブル チェーン 優先順位 引数
ルールが 優先順位 と引数 引数 チェーンに存在する チェーン in
テーブル テーブル。 trueの場合は0を返し、そうでない場合は1を返します。 このオプションはルールのみに関係します
以前に追加したもの - 直接 --ルールを追加.
- 直接 --パススルー { ipv4 | ipv6 | eb } 引数
コマンドをファイアウォールに渡します。 引数 すべてになることができます iptables, ip6tables
ebtables コマンドライン引数。 このコマンドは追跡されていません。つまり、firewalld
後でこのコマンドに関する情報を提供することはできません。また、コマンドのリストも提供できません。
追跡されていないパススルー。
[- 永続] - 直接 --get-all-passthroughs
すべてのパススルー ルールを、改行で区切られた ipv 値と引数のリストとして取得します。
[- 永続] - 直接 --get-パススルー { ipv4 | ipv6 | eb }
ipv 値のすべてのパススルー ルールを改行で区切られたリストとして取得します。
優先順位と引数。
[- 永続] - 直接 -追加-パススルー { ipv4 | ipv6 | eb } 引数
引数を指定してパススルー ルールを追加します 引数 ipv値の場合。
[- 永続] - 直接 -削除-パススルー { ipv4 | ipv6 | eb } 引数
引数を使用してパススルー ルールを削除します 引数 ipv値の場合。
[- 永続] - 直接 -クエリパススルー { ipv4 | ipv6 | eb } 引数
引数を指定したパススルー ルールかどうかを返します。 引数 ipv 値に対して存在します。
trueの場合は0を返し、そうでない場合は1を返します。
ロックダウン オプション
ローカルアプリケーションまたはサービスは、ファイアウォールの構成を変更できます。
ルート(例:libvirt)として実行されているか、PolicyKitを使用して認証されています。 この機能で
管理者はファイアウォール構成をロックして、ロックダウン中のアプリケーションのみをロックできます
ホワイトリストはファイアウォールの変更を要求できます。
ロックダウンアクセスチェックは、ファイアウォールルールを変更するD-Busメソッドを制限します。 クエリ、
listメソッドとgetメソッドは制限されていません。
ロックダウン機能は、ユーザーおよびアプリケーションポリシーの非常に軽量なバージョンです。
Firewalldであり、デフォルトでオフになっています。
-封鎖-オン
ロックダウンを有効にします。 注意してください-ファイアウォールコマンドがロックダウンホワイトリストにない場合は、
ロックダウンを有効にすると、firewall-cmdで再度無効にすることはできなくなります。
Firewalld.confを編集する必要があります。
これは実行時および永続的な変更です。
-封鎖-オフ
ロックダウンを無効にします。
これは実行時および永続的な変更です。
--クエリロックダウン
ロックダウンが有効になっているかどうかを照会します。 ロックダウンが有効になっている場合は0を返し、そうでない場合は1を返します。
ロックダウン ホワイトリスト オプション
ロックダウンホワイトリストには、 コマンド, 文脈, users user イド.
ホワイトリストのコマンドエントリがアスタリスク「*」で終わっている場合は、すべてのコマンドライン
コマンドで始まるものは一致します。 '*'がない場合は絶対コマンド
包括的引数は一致する必要があります。
ユーザーrootとその他のコマンドは、常に同じであるとは限りません。 例:rootとして
/ bin / Firewall-cmd 通常のユーザーとして使用されます / usr / bin / Firewall-cmd Fedoraで使用されます。
コンテキストは、実行中のアプリケーションまたはサービスのセキュリティ(SELinux)コンテキストです。 取得するため
実行中のアプリケーションの使用状況 ps -e - 環境.
警告: コンテキストが制限されていない場合、これにより、
希望するアプリケーション。
ロックダウンホワイトリストのエントリは、次の順序でチェックされます。
1. コンテキスト
2. UID
3. user
4. command
[- 永続] --list-lockdown-whitelist-コマンド
ホワイトリストにあるすべてのコマンドラインを一覧表示します。
[- 永続] --add-ロックダウン-ホワイトリスト-コマンド= command
加えます command ホワイトリストに追加します。
[- 永続] --ロックダウンホワイトリスト削除コマンド= command
削除する command ホワイトリストから。
[- 永続] --クエリ ロックダウン ホワイトリスト コマンド= command
かどうかをクエリします command ホワイトリストに載っています。 trueの場合は0を返し、それ以外の場合は1を返します。
[- 永続] --list-lockdown-whitelist-contexts
ホワイトリストにあるすべてのコンテキストを一覧表示します。
[- 永続] --ロックダウン-ホワイトリスト-コンテキストの追加=コンテキスト
コンテキストを追加する コンテキスト ホワイトリストに追加します。
[- 永続] --ロックダウン-ホワイトリスト-コンテキストを削除=コンテキスト
削除する コンテキスト ホワイトリストから。
[- 永続] --クエリ-ロックダウン-ホワイトリスト-コンテキスト=コンテキスト
かどうかをクエリします コンテキスト ホワイトリストに載っています。 trueの場合は0を返し、それ以外の場合は1を返します。
[- 永続] --list-lockdown-whitelist-uids
ホワイトリストにあるすべてのユーザーIDを一覧表示します。
[- 永続] --add-ロックダウン-ホワイトリスト-uid=UID
ユーザーIDを追加します UID ホワイトリストに追加します。
[- 永続] --ロックダウン-ホワイトリスト-uid を削除=UID
ユーザーIDを削除します UID ホワイトリストから。
[- 永続] --クエリ-ロックダウン-ホワイトリスト-uid=UID
ユーザーIDかどうかを照会する UID ホワイトリストに載っています。 trueの場合は0を返し、それ以外の場合は1を返します。
[- 永続] --list-lockdown-whitelist-users
ホワイトリストにあるすべてのユーザー名を一覧表示します。
[- 永続] --add-ロックダウン-ホワイトリスト-ユーザー=user
ユーザー名を追加します user ホワイトリストに追加します。
[- 永続] --ロックダウン-ホワイトリスト-ユーザーの削除=user
ユーザー名を削除します user ホワイトリストから。
[- 永続] --クエリ-ロックダウン-ホワイトリスト-ユーザー=user
ユーザー名かどうかを照会する user ホワイトリストに載っています。 trueの場合は0を返し、それ以外の場合は1を返します。
パニック オプション
--パニックオン
パニックモードを有効にします。 すべての受信パケットと送信パケットがドロップされ、アクティブな接続が
失効します。 ネットワークに重大な問題がある場合にのみこれを有効にしてください
環境。 たとえば、マシンがハッキングされた場合などです。
これは実行時のみの変更です。
--パニックオフ
パニックモードを無効にします。 パニックモードを無効にすると、確立された接続が機能する可能性があります
パニック モードが短期間有効になった場合も同様です。
これは実行時のみの変更です。
--クエリパニック
パニックモードが有効な場合は 0 を返し、そうでない場合は 1 を返します。
例
その他の例については、を参照してください。 http://fedoraproject.org/wiki/FirewallD
例: 1
デフォルト ゾーンで http サービスを有効にします。 これは実行時のみの変更です。つまり、次の時点まで有効です。
再起動してください。
ファイアウォール-cmd --add-service=http
例: 2
デフォルト ゾーンでポート 443/tcp を即時かつ永続的に有効にします。 変更するには
すぐに有効になり、再起動後も XNUMX つのコマンドが必要になります。 最初のコマンドは
ランタイム構成の変更。つまり、再起動するまで即座に有効になります。
XNUMX 番目のコマンドは、永続的な構成の変更を行います。つまり、変更を有効にします。
再起動後。
ファイアウォール-cmd --add-port=443/tcp
firewall-cmd --permanent --add-port=443/tcp
EXIT コード
成功すると 0 が返されます。 失敗すると出力は赤色になり、終了コードは 2 のいずれかになります。
コマンドライン オプションの使用法が間違っている場合、または他のコマンド ライン オプションで次のエラー コードのいずれかが発生した場合
ケース:
┌───────────┬──────┐
│String │ CPコード │
§─────────┼──────┤
│すでに有効になっています │ 11 │
§─────────┼──────┤
│NOT_ENABLED │ 12 │
§─────────┼──────┤
│コマンド_失敗 │ 13 │
§─────────┼──────┤
│NO_IPV6_NAT │ 14 │
§─────────┼──────┤
│パニックモード │ 15 │
§─────────┼──────┤
│ゾーン_ALREADY_SET │ 16 │
§─────────┼──────┤
│未知のインターフェース │ 17 │
§─────────┼──────┤
│ゾーンコンフリクト │ 18 │
§─────────┼──────┤
│ビルトインチェーン │ 19 │
§─────────┼──────┤
│EBTABLES_NO_REJECT │ 20 │
§─────────┼──────┤
│NOT_OVERLOADABLE │ 21 │
§─────────┼──────┤
│NO_DEFAULTS │ 22 │
§─────────┼──────┤
│ビルトインゾーン │ 23 │
§─────────┼──────┤
│ビルトイン_サービス │ 24 │
§─────────┼──────┤
│BUILTIN_ICMPTYPE │ 25 │
§─────────┼──────┤
│名前_競合 │ 26 │
§─────────┼──────┤
│NAME_MISMATCH │ 27 │
§─────────┼──────┤
│PARSE_ERROR │ 28 │
§─────────┼──────┤
│アクセス_拒否 │ 29 │
§─────────┼──────┤
│不明な情報源 │ 30 │
§─────────┼──────┤
│RT_TO_PERM_FAILED │ 31 │
§─────────┼──────┤
│IPSET_WITH_TIMEOUT │ 32 │
§─────────┼──────┤
│BUILTIN_IPSET │ 33 │
§─────────┼──────┤
│すでに設定されています │ 34 │
§─────────┼──────┤
│無効_アクション │ 100 │
§─────────┼──────┤
│無効なサービス │ 101 │
§─────────┼──────┤
│無効_ポート │ 102 │
§─────────┼──────┤
│無効なプロトコル │ 103 │
§─────────┼──────┤
│無効なインターフェース │ 104 │
§─────────┼──────┤
│無効なアドレス │ 105 │
§─────────┼──────┤
│INVALID_FORWARD │ 106 │
§─────────┼──────┤
│INVALID_ICMPTYPE │ 107 │
§─────────┼──────┤
│無効なテーブル │ 108 │
§─────────┼──────┤
│無効なチェーン │ 109 │
§─────────┼──────┤
│無効なターゲット │ 110 │
§─────────┼──────┤
│INVALID_IPV │ 111 │
§─────────┼──────┤
│無効ゾーン │ 112 │
§─────────┼──────┤
│無効なプロパティ │ 113 │
§─────────┼──────┤
│無効な値 │ 114 │
§─────────┼──────┤
│無効なオブジェクト │ 115 │
§─────────┼──────┤
│INVALID_NAME │ 116 │
§─────────┼──────┤
│無効なファイル名 │ 117 │
§─────────┼──────┤
│無効なディレクトリ │ 118 │
§─────────┼──────┤
│無効なタイプ │ 119 │
§─────────┼──────┤
│無効な設定 │ 120 │
§─────────┼──────┤
│無効な宛先 │ 121 │
§─────────┼──────┤
│無効なルール │ 122 │
§─────────┼──────┤
│無効_制限 │ 123 │
§─────────┼──────┤
│無効な家族 │ 124 │
§─────────┼──────┤
│INVALID_LOG_LEVEL │ 125 │
§─────────┼──────┤
│INVALID_AUDIT_TYPE │ 126 │
§─────────┼──────┤
│INVALID_MARK │ 127 │
§─────────┼──────┤
│無効なコンテキスト │ 128 │
§─────────┼──────┤
│無効なコマンド │ 129 │
§─────────┼──────┤
│無効なユーザー │ 130 │
§─────────┼──────┤
│無効_UID │ 131 │
§─────────┼──────┤
│無効なモジュール │ 132 │
§─────────┼──────┤
│無効_パススルー │ 133 │
§─────────┼──────┤
│無効_MAC │ 134 │
§─────────┼──────┤
│無効_IPSET │ 135 │
§─────────┼──────┤
│無効なエントリ │ 136 │
§─────────┼──────┤
│無効なオプション │ 137 │
§─────────┼──────┤
│欠落テーブル │ 200 │
§─────────┼──────┤
│ミッシング_チェーン │ 201 │
§─────────┼──────┤
│欠落ポート │ 202 │
§─────────┼──────┤
│ミッシング_プロトコル │ 203 │
§─────────┼──────┤
│MISSING_ADDR │ 204 │
§─────────┼──────┤
│MISSING_NAME │ 205 │
§─────────┼──────┤
│設定がありません │ 206 │
§─────────┼──────┤
│行方不明の家族 │ 207 │
§─────────┼──────┤
│停止中 │ 252 │
§─────────┼──────┤
│NOT_AUTHORIZED │ 253 │
§─────────┼──────┤
│不明_エラー │ 254 │
━━━━━━━━┴─────┘
onworks.net サービスを使用してオンラインで firewall-cmd を使用する
