これは、Ubuntu Online、Fedora Online、Windowsオンラインエミュレーター、MACOSオンラインエミュレーターなどの複数の無料オンラインワークステーションのXNUMXつを使用してOnWorks無料ホスティングプロバイダーで実行できるコマンドfirewall-offline-cmdです。
プログラム:
NAME
Firewall-offline-cmd-firewalldオフラインコマンドラインクライアント
SYNOPSIS
ファイアウォール-オフライン-cmd [オプション...]
DESCRIPTION
Firewall-offline-cmdは、firewalldデーモンのオフラインコマンドラインクライアントです。 そうすべき
Firewalldサービスが実行されていない場合にのみ使用されます。 たとえば、から移行するには
system-config-firewall / lokkitまたはインストール環境で、ファイアウォール設定を構成します
キックスタート付き。
一部のlokkitオプションは、firewalldに自動的に変換できず、結果として
エラーまたは警告メッセージ。 このツールは可能な限り変換しようとしますが、
たとえば、カスタムルール、モジュール、マスカレードなどの制限。
このツールを使用した後、ファイアウォールの構成を確認してください。
OPTIONS
オプションが指定されていない場合は、 / etc / sysconfig / system-config-firewall なります
移行しました。
次のオプションがサポートされています。
カスタマーサービス オプション
-h, - 助けて
短いヘルプテキストを印刷して存在します。
Status: オプション
-有効
ファイアウォールを有効にします。 このオプションはデフォルトのオプションであり、次の場合にファイアウォールをアクティブにします。
オプションが有効になっている限り、まだ有効になっていません - 無効 与えられていません。
- 無効
Firewalldサービスを無効にして、ファイアウォールを無効にします。
ロキット 互換性 オプション
これらのオプションは、のオプションとほぼ同じです。 ロックキット.
--addmodule=モジュール
このオプションは警告メッセージを表示し、無視されます。
netfilterヘルパーの処理は、サービスに完全に統合されました。 追加または
したがって、サービス外でnetfilterヘルパーを削除する必要はありません。 為に
サービスでのnetfilterヘルパーの処理の詳細については、をご覧ください。
Firewalld.zoneとします。
-- モジュールの削除
このオプションは警告メッセージを表示し、無視されます。
netfilterヘルパーの処理は、サービスに完全に統合されました。 追加または
したがって、サービス外でnetfilterヘルパーを削除する必要はありません。 為に
サービスでのnetfilterヘルパーの処理の詳細については、をご覧ください。
Firewalld.zoneとします。
-- サービスの削除=サービス
デフォルトゾーンからサービスを削除します。 このオプションは複数回指定できます。
このサービスは、firewalldが提供するサービスのXNUMXつです。 サポートされているリストを取得するには
サービス、使用 ファイアウォールコマンド --get-services.
-s サービス, - サービス=サービス
デフォルトゾーンにサービスを追加します。 このオプションは複数回指定できます。
このサービスは、firewalldが提供するサービスのXNUMXつです。 サポートされているリストを取得するには
サービス、使用 ファイアウォールコマンド --get-services.
-p ポートイド[-ポートイド]: , - 港=ポートイド[-ポートイド]:
ポートをデフォルトゾーンに追加します。 このオプションは複数回指定できます。
ポートは、単一のポート番号またはポート範囲のいずれかです。 ポートイド-ポートイドを選択します。
プロトコルは次のいずれかになります TCP or UDP.
-t インタフェース, - 信頼=インタフェース
このオプションを選択すると、警告メッセージが表示されます。
インターフェイスを信頼できるものとしてマークします。 このオプションは複数回指定できます。 The
インターフェイスは信頼できるゾーンにバインドされます。
インターフェイスがNetworkManager管理対象接続で使用されている場合、または
このインターフェースのifcfgファイルの場合、ゾーンはで定義されたゾーンに変更されます。
有効化されるとすぐに構成。 接続のゾーンを変更するには、
nm-接続エディター ゾーンをtrustedに設定します。ifcfgファイルの場合は、エディターを使用して
「ZONE=trusted」を追加します。 ゾーンがifcfgファイルで定義されていない場合、firewalld
デフォルトのゾーンが使用されます。
-m インタフェース, --マスク=インタフェース
このオプションを選択すると、警告メッセージが表示されます。
マスカレードはデフォルトゾーンで有効になります。 インターフェイスの引数は次のようになります
無視されます。 これがためのものです IPv4 のみ。
--カスタムルール=[type:] [テーブル:]ファイル名
このオプションは警告メッセージを表示し、無視されます。
カスタムルールファイルはfirewalldではサポートされていません。
--転送ポート= if =インタフェース:port =ポート:proto = [:toport =デスティネーション
ポート:] [:toaddr =デスティネーション 住所]
このオプションを選択すると、警告メッセージが表示されます。
加えます IPv4 デフォルトゾーンの転送ポート。 このオプションは複数指定できます
回。
ポートは単一のポート番号にすることができます ポートイド またはポート範囲 ポートイド-ポートイドを選択します。
プロトコルは次のいずれかになります TCP or UDP。 宛先アドレスはIPアドレスです。
--block-icmp=icmpタイプ
このオプションを選択すると、警告メッセージが表示されます。
のICMPブロックを追加します icmpタイプ デフォルトゾーンで。 このオプションを指定できます
複数回。
icmpタイプ はfirewalldがサポートするicmpタイプのXNUMXつです。 のリストを取得するには
サポートされているicmpタイプ: ファイアウォールコマンド --get-icmptypes
ゾーン オプション
--get-デフォルトゾーン
接続とインターフェースのデフォルトゾーンを印刷します。
--set-デフォルトゾーン=ゾーン
ゾーンが選択されていない接続とインターフェースのデフォルトゾーンを設定します。
デフォルトゾーンを設定すると、接続またはインターフェイスのゾーンが変更されます。
デフォルトゾーンを使用します。
--get-zones
事前定義されたゾーンをスペースで区切られたリストとして印刷します。
--get-services
事前定義されたサービスをスペースで区切られたリストとして印刷します。
--get-icmptypes
事前定義されたicmptypeをスペース区切りのリストとして出力します。
--get-インターフェースのゾーン=インタフェース
ゾーンの名前を印刷します インタフェース またはにバインドされています いいえ ゾーン.
--get-ソースのゾーン=source[/mask]
ゾーンの名前を印刷します source[/mask]はまたはにバインドされています いいえ ゾーン.
--info-zone =ゾーン
ゾーンに関する情報を印刷する ゾーン。 出力形式は次のとおりです。
ゾーン
インタフェース: インターフェイス1 ..
情報源: source1 ..
サービス: service1 ..
ポート: port1 ..
プロトコル: プロトコル1 ..
フォワードポート:
転送ポート 1
..
icmp-blocks: icmp-type1 ..
豊富なルール:
リッチルール1
..
--list-all-zones
すべてのゾーンで追加または有効になっているものをすべて一覧表示します。 出力形式は次のとおりです。
ゾーン1
インタフェース: インターフェイス1 ..
情報源: source1 ..
サービス: service1 ..
ポート: port1 ..
プロトコル: プロトコル1 ..
フォワードポート:
転送ポート 1
..
icmp-blocks: icmp-type1 ..
豊富なルール:
リッチルール1
..
..
-- 新しいゾーン=ゾーン
新しいパーマネントゾーンを追加します。
--ゾーンの削除=ゾーン
既存のパーマネントゾーンを削除します。
- ゾーン=ゾーン --get ターゲット
パーマネントゾーンのターゲットを取得します。
- ゾーン=ゾーン --set-target=ゾーン
パーマネントゾーンのターゲットを設定します。
オプション 〜へ 適応する & クエリー ゾーン
このセクションのオプションは、XNUMXつの特定のゾーンにのみ影響します。 一緒に使用する場合 - ゾーン=ゾーン オプション、
それらはゾーンに影響を与えます ゾーン。 このオプションを省略すると、デフォルトのゾーンに影響します(を参照)。
--get-デフォルトゾーン).
[- ゾーン=ゾーン] -リスト-すべて
追加または有効化されたものをすべて一覧表示します ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
中古。
[- ゾーン=ゾーン] --リストサービス
追加されたサービスのリスト ゾーン スペースで区切られたリストとして。 ゾーンを省略した場合、デフォルト
ゾーンが使用されます。
[- ゾーン=ゾーン] --サービスを追加=サービス
のサービスを追加する ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 このオプションは
複数回指定します。
このサービスは、firewalldが提供するサービスのXNUMXつです。 サポートされているリストを取得するには
サービス、使用 ファイアウォールコマンド --get-services.
[- ゾーン=ゾーン] --サービスをゾーンから削除=サービス
からサービスを削除します ゾーン。 このオプションは複数回指定できます。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --クエリサービス=サービス
返すかどうか サービス のために追加されました ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
利用される。 trueの場合は0を返し、それ以外の場合は1を返します。
[- ゾーン=ゾーン] --リスト-ポート
追加されたポートのリスト ゾーン スペースで区切られたリストとして。 ポートの形式は
ポートイド[-ポートイド]/ 、ポートとプロトコルのペアまたはポート範囲のいずれかです。
プロトコルで。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --ポートの追加=ポートイド[-ポートイド]/
のポートを追加します ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 このオプションは
複数回指定します。
ポートは、単一のポート番号またはポート範囲のいずれかです。 ポートイド-ポートイドを選択します。
プロトコルは次のいずれかになります TCP or UDP.
[- ゾーン=ゾーン] -- ポートの削除=ポートイド[-ポートイド]/
からポートを削除します ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 このオプション
複数回指定できます。
[- ゾーン=ゾーン] --クエリポート=ポートイド[-ポートイド]/
ポートが追加されているかどうかを返します ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
利用される。 trueの場合は0を返し、それ以外の場合は1を返します。
[- ゾーン=ゾーン] --list-プロトコル
追加されたプロトコルのリスト ゾーン スペースで区切られたリストとして。 ゾーンを省略した場合、デフォルト
ゾーンが使用されます。
[- ゾーン=ゾーン] --プロトコルを追加=
のプロトコルを追加します ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 このオプション
複数回指定できます。 タイムアウトが指定された場合、ルールは次の場合にアクティブになります
指定された時間であり、その後自動的に削除されます。 タイムヴァル is
数値(秒数)または数値の後に文字のXNUMXつが続く s (秒)、 m
(分)、 h (時間)、例えば 20m or 1h.
プロトコルは、システムでサポートされている任意のプロトコルにすることができます。 ご覧ください
/ etc / protocols サポートされているプロトコルの場合。
[- ゾーン=ゾーン] -- 削除プロトコル=
からプロトコルを削除します ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。 これ
オプションは複数回指定できます。
[- ゾーン=ゾーン] -クエリプロトコル=
プロトコルが追加されているかどうかを返します ゾーン。 ゾーンを省略した場合、デフォルトのゾーン
使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
[- ゾーン=ゾーン] --list-icmp-blocks
に追加されたインターネット制御メッセージプロトコル(ICMP)タイプのブロックを一覧表示します ゾーン スペースとして
分離されたリスト。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --add-icmp-ブロック=icmpタイプ
のICMPブロックを追加します icmpタイプ for ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
使用済み。 このオプションは複数回指定できます。
icmpタイプ はfirewalldがサポートするicmpタイプのXNUMXつです。 のリストを取得するには
サポートされているicmpタイプ: ファイアウォールコマンド --get-icmptypes
[- ゾーン=ゾーン] --remove-icmp-block=icmpタイプ
のICMPブロックを削除します icmpタイプ から ゾーン。 ゾーンを省略した場合、デフォルトのゾーンは
使用済み。 このオプションは複数回指定できます。
[- ゾーン=ゾーン] --クエリ-icmp-ブロック=icmpタイプ
のICMPブロックが icmpタイプ のために追加されました ゾーン。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
[- ゾーン=ゾーン] --list-forward-ports
リスト IPv4 転送ポートが追加されました ゾーン スペースで区切られたリストとして。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。
IPv6 転送ポートについては、豊富な言語を使用してください。
[- ゾーン=ゾーン]
--add-forward-ポート=ポート=ポートイド[-ポートイド]:proto = [:toport =ポートイド[-ポートイド]] [:toaddr =住所[/mask]]
加えます IPv4 の転送ポート ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
このオプションは複数回指定できます。
ポートは単一のポート番号にすることができます ポートイド またはポート範囲 ポートイド-ポートイドを選択します。
プロトコルは次のいずれかになります TCP or UDP。 宛先アドレスは単純なIPアドレスです。
IPv6 転送ポートについては、豊富な言語を使用してください。
[- ゾーン=ゾーン]
--転送ポートを削除=ポート=ポートイド[-ポートイド]:proto = [:toport =ポートイド[-ポートイド]] [:toaddr =住所[/mask]]
削除する IPv4 からの転送ポート ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
このオプションは複数回指定できます。
IPv6 転送ポートについては、豊富な言語を使用してください。
[- ゾーン=ゾーン]
--クエリ転送ポート=ポート=ポートイド[-ポートイド]:proto = [:toport =ポートイド[-ポートイド]] [:toaddr =住所[/mask]]
を返すかどうか IPv4 転送ポートが追加されました ゾーン。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
IPv6 転送ポートについては、豊富な言語を使用してください。
[- ゾーン=ゾーン] -追加-マスカレード
有効にします IPv4 仮面舞踏会 ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
マスカレードは、マシンがルーターであり、マシンがルーターを介して接続されている場合に役立ちます。
別のゾーンのインターフェースは、最初の接続を使用できる必要があります。
IPv6 マスカレード、豊かな言葉を使ってください。
[- ゾーン=ゾーン] -削除-マスカレード
無効にします IPv4 仮面舞踏会 ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
IPv6 マスカレード、豊かな言葉を使ってください。
[- ゾーン=ゾーン] -クエリマスカレード
返すかどうか IPv4 マスカレードが有効になっています ゾーン。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
IPv6 マスカレード、豊かな言葉を使ってください。
[- ゾーン=ゾーン] --リストリッチルール
追加された豊富な言語ルールを一覧表示 ゾーン 改行で区切られたリストとして。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --リッチルールを追加='ルール'
豊富な言語ルールを追加する 'ルール' にとって ゾーン。 このオプションは複数回指定できます。
ゾーンを省略すると、デフォルトのゾーンが使用されます。
豊富な言語ルールの構文については、以下をご覧ください。 Firewalld.richlanguageとします。
[- ゾーン=ゾーン] -- リッチ ルールの削除='ルール'
豊富な言語ルールを削除する 'ルール'から ゾーン。 このオプションは複数指定できます
回数。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
豊富な言語ルールの構文については、以下をご覧ください。 Firewalld.richlanguageとします。
[- ゾーン=ゾーン] --クエリリッチルール='ルール'
豊富な言語ルールかどうかを返す 'ルール'が追加されました ゾーン。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。 trueの場合は0を返し、それ以外の場合は1を返します。
豊富な言語ルールの構文については、以下をご覧ください。 Firewalld.richlanguageとします。
オプション 〜へ Handle バインディング of インターフェース
インターフェイスをゾーンにバインドするということは、このゾーン設定がトラフィックを制限するために使用されることを意味します
インターフェイス経由。
このセクションのオプションは、XNUMXつの特定のゾーンにのみ影響します。 一緒に使用する場合 - ゾーン=ゾーン オプション、
それらはゾーンに影響を与えます ゾーン。 このオプションを省略すると、デフォルトのゾーンに影響します(を参照)。
--get-デフォルトゾーン).
事前定義されたゾーンのリストについては、 ファイアウォールコマンド --get-zones.
インターフェイス名は最大16文字の文字列であり、含まれていない場合があります ' ', 「/」, 「!」
& 「*」.
[- ゾーン=ゾーン] --list-interfaces
ゾーンにバインドされているインターフェイスを一覧表示します ゾーン スペースで区切られたリストとして。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --add-interface=インタフェース
バインドインターフェイス インタフェース ゾーンへ ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --変更インターフェイス=インタフェース
インターフェイスのゾーンを変更します インタフェース ゾーンにバインドされています ゾーン。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。 古いゾーンと新しいゾーンが同じ場合、呼び出しは無視されます
エラーなし。 インターフェイスが以前にゾーンにバインドされていない場合は、動作します
ような --add-interface.
[- ゾーン=ゾーン] -- クエリ インターフェイス=インタフェース
インターフェイスかどうかを照会する インタフェース ゾーンにバインドされています ゾーン。 trueの場合は0を返し、1を返します
さもないと。
[- ゾーン=ゾーン] -- 削除インターフェース=インタフェース
インターフェイスのバインディングを削除します インタフェース ゾーンから ゾーン。 ゾーンを省略した場合、デフォルトのゾーン
使用されます。
オプション 〜へ Handle バインディング of ソース
ソースをゾーンにバインドするということは、このゾーン設定がトラフィックを制限するために使用されることを意味します
このソースから。
送信元アドレスまたはアドレス範囲は、IPアドレスまたはネットワークIPアドレスのいずれかです。
IPv4またはIPv6のマスクまたはMACアドレス(マスクなし)。 IPv4の場合、マスクはネットワークマスクにすることができます
またはプレーンな番号。 IPv6の場合、マスクは単純な数値です。 ホスト名の使用は
。
このセクションのオプションは、XNUMXつの特定のゾーンにのみ影響します。 一緒に使用する場合 - ゾーン=ゾーン オプション、
それらはゾーンに影響を与えます ゾーン。 このオプションを省略すると、デフォルトのゾーンに影響します(を参照)。
--get-デフォルトゾーン).
事前定義されたゾーンのリストについては、 ファイアウォールコマンド --get-zones.
[- ゾーン=ゾーン] --リストソース
ゾーンにバインドされているソースを一覧表示します ゾーン スペースで区切られたリストとして。 ゾーンが
省略した場合、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --ソースを追加=source[/mask]
ソースをバインド source[/mask]ゾーンへ ゾーン。 ゾーンを省略すると、デフォルトのゾーンが使用されます。
[- ゾーン=ゾーン] --ソースの変更=source[/mask]
ソースのゾーンを変更します source[/mask]はゾーンにバインドされています ゾーン。 ゾーンを省略した場合
デフォルトのゾーンが使用されます。 古いゾーンと新しいゾーンが同じ場合、呼び出しは無視されます
エラーなし。 ソースが以前にゾーンにバインドされていない場合、ソースは動作します
ような --ソースを追加.
[- ゾーン=ゾーン] --クエリソース=source[/mask]
ソースかどうかをクエリします source[/mask]はゾーンにバインドされています ゾーン。 trueの場合は0を返し、1を返します
さもないと。
[- ゾーン=ゾーン] -削除-ソース=source[/mask]
ソースのバインディングを削除します source[/mask]ゾーンから ゾーン。 ゾーンを省略した場合、デフォルト
ゾーンが使用されます。
IPセット オプション
--新しい-ipset=ipset - タイプ=ipset type [- オプション=ipset オプション[=値]]
タイプとオプションのオプションを指定して、新しい永続的なipsetを追加します。
--delete-ipset=ipset
既存の永続的なipsetを削除します。
--info-ipset =ipset
ipsetに関する情報を出力します ipset。 出力形式は次のとおりです。
ipset
タイプ: type
オプション: option1 [= value1] ..
エントリ: エントリー1 ..
--get-ipsets
事前定義されたipsetをスペースで区切られたリストとして出力します。
--ipset=ipset --エントリを追加=エントリ
ipsetに新しいエントリを追加します。
--ipset=ipset --エントリの削除=エントリ
ipsetからエントリを削除します。
--ipset=ipset --クエリエントリ=エントリ
エントリがipsetに追加されているかどうかを返します。 trueの場合は0を返し、それ以外の場合は1を返します。
--ipset=ipset --get エントリ
ipsetのすべてのエントリを一覧表示します。
カスタマーサービス オプション
--info-service =サービス
サービスに関する情報を印刷する サービス。 出力形式は次のとおりです。
サービス
ポート: port1 ..
プロトコル: プロトコル1 ..
モジュール: module1 ..
行き先: ipv1:address1 ..
-新しいサービス=サービス
新しい永続的なサービスを追加します。
--サービスの削除=サービス
既存の永続サービスを削除します。
- サービス=サービス --ポートの追加=ポートイド[-ポートイド]/
永続サービスに新しいポートを追加します。
- サービス=サービス -- ポートの削除=ポートイド[-ポートイド]/
パーマネントサービスからポートを削除します。
- サービス=サービス --クエリポート=ポートイド[-ポートイド]/
ポートが永続サービスに追加されたかどうかを返します。
- サービス=サービス --get ポート
永続サービスに追加されたポートを一覧表示します。
- サービス=サービス --プロトコルを追加=
永続サービスに新しいプロトコルを追加します。
- サービス=サービス -削除-プロトコル=
永続サービスからプロトコルを削除します。
- サービス=サービス -クエリプロトコル=
プロトコルが永続サービスに追加されたかどうかを返します。
- サービス=サービス --get-プロトコル
永続サービスに追加されたプロトコルを一覧表示します。
- サービス=サービス --add-モジュール=モジュール
永続サービスに新しいモジュールを追加します。
- サービス=サービス -- 削除モジュール=モジュール
永続的なサービスからモジュールを削除します。
- サービス=サービス --クエリモジュール=モジュール
モジュールが永続サービスに追加されたかどうかを返します。
- サービス=サービス --get モジュール
永続サービスに追加されたモジュールを一覧表示します。
- サービス=サービス -追加-宛先=その代わり:住所[/mask]
ipvの宛先をパーマネントサービスのaddress [/ mask]に設定します。
- サービス=サービス -削除-宛先=その代わり
ipvの宛先を永続サービスから削除します。
- サービス=サービス -クエリ-宛先=その代わり:住所[/mask]
アドレス[/ mask]への宛先ipvがパーマネントに設定されているかどうかを返します
サービス。
- サービス=サービス --get-destinations
常設サービスに追加された宛先を一覧表示します。
インターネット 管理 メッセージ プロトコール (ICMP) type オプション
--info-icmptype =icmpタイプ
icmptypeに関する情報を出力します icmpタイプ。 出力形式は次のとおりです。
icmpタイプ
行き先: ipv1 ..
--新しい-icmptype=icmpタイプ
新しい永続的なicmptypeを追加します。
--delete-icmptype=icmpタイプ
既存の永続的なicmptypeを削除します。
--icmptype=icmpタイプ -追加-宛先=その代わり
永続的なicmptypeでipvの宛先を有効にします。 ipvはのXNUMXつです ipv4 or ipv6.
--icmptype=icmpタイプ -削除-宛先=その代わり
永続的なicmptypeでipvの宛先を無効にします。 ipvはのXNUMXつです ipv4 or ipv6.
--icmptype=icmpタイプ -クエリ-宛先=その代わり
ipvの宛先が永続的なicmptypeで有効になっているかどうかを返します。 ipvはのXNUMXつです
ipv4 or ipv6.
--icmptype=icmpタイプ --get-destinations
永続的なicmptypeで宛先を一覧表示します。
直接 オプション
直接オプションを使用すると、ファイアウォールに直接アクセスできます。 これらのオプションにはユーザーが必要です
基本的なiptablesの概念を知るため、すなわち テーブル (filter / mangle / nat / ...)、 チェーン
(入力/出力/転送/ ...)、 コマンド (-A / -D / -I / ...)、 パラメータ (-p / -s / -d / -j / ...)および
ターゲット (ACCEPT / DROP / REJECT / ...)。
直接オプションは、次の目的で使用できない場合の最後の手段としてのみ使用する必要があります
例 --サービスを追加=サービス or --リッチルールを追加='ルール'.
各オプションの最初の引数は ipv4 or ipv6 or eb ipv4 それは
IPv4(iptables(8))、 ipv6 IPv6の場合(ip6tables(8))そして eb イーサネットブリッジ用
(ebtables(8))。
- 直接 --get-all-chains
すべてのチェーンをすべてのテーブルに追加します。
このオプションは、以前に追加されたチェーンのみに関係します - 直接 --チェーンを追加.
- 直接 --get-chains { ipv4 | ipv6 | eb } テーブル
すべてのチェーンをテーブルに追加します テーブル スペースで区切られたリストとして。
このオプションは、以前に追加されたチェーンのみに関係します - 直接 --チェーンを追加.
- 直接 --チェーンを追加 { ipv4 | ipv6 | eb } テーブル チェーン
名前の付いた新しいチェーンを追加します チェーン テーブルへ テーブル.
たとえば、直接オプションで使用する基本的なチェーンはすでに存在します INPUT_direct
チェーン(を参照) iptables-保存 | grep 直接 それらすべての出力)。 これらのチェーンは
ゾーンのチェーンの前に飛び込んだ、つまりすべてのルールが INPUT_direct なります
ゾーンのルールの前にチェックされます。
- 直接 --チェーンの削除 { ipv4 | ipv6 | eb } テーブル チェーン
名前の付いたチェーンを削除します チェーン テーブルから テーブル.
- 直接 -クエリチェーン { ipv4 | ipv6 | eb } テーブル チェーン
名前の付いたチェーンかどうかを返す チェーン テーブルに存在します テーブル。 trueの場合は0を返し、1を返します
さもないと。
このオプションは、以前に追加されたチェーンのみに関係します - 直接 --チェーンを追加.
- 直接 --get-all-rules
すべてのテーブルのすべてのチェーンに追加されたすべてのルールを、改行で区切られたリストとして取得します。
優先順位と引数。
- 直接 --get-rules { ipv4 | ipv6 | eb } テーブル チェーン
チェーンに追加されたすべてのルールを取得する チェーン テーブルで テーブル の改行区切りリストとして
優先順位と引数。
- 直接 --ルールを追加 { ipv4 | ipv6 | eb } テーブル チェーン 優先順位 引数
引数を使用してルールを追加します 引数 チェーンする チェーン テーブルで テーブル 優先して
優先順位.
優先順位 ルールの注文に使用されます。 優先度0は、チェーンの最上位にルールを追加することを意味します。
優先度が高いほど、ルールはさらに下に追加されます。 同じルール
優先度は同じレベルであり、これらのルールの順序は固定されておらず、
変化する。 ルールが次々に追加されることを確認したい場合は、
最初の優先度は低く、次の優先度は高くなります。
- 直接 --ルールの削除 { ipv4 | ipv6 | eb } テーブル チェーン 優先順位 引数
でルールを削除する 優先順位 と引数 引数 チェーンから チェーン テーブルで テーブル.
- 直接 --ルールの削除 { ipv4 | ipv6 | eb } テーブル チェーン
名前の付いたチェーン内のすべてのルールを削除します チェーン テーブルに存在します テーブル.
このオプションは、以前に追加されたルールのみに関係します - 直接 --ルールを追加 この内
チェーン。
- 直接 --クエリルール { ipv4 | ipv6 | eb } テーブル チェーン 優先順位 引数
ルールが 優先順位 と引数 引数 チェーンに存在する チェーン in
テーブル テーブル。 trueの場合は0を返し、それ以外の場合は1を返します。
- 直接 --get-all-passthroughs
ipv値の改行で区切られたリストとしてすべての永続的なパススルーを取得し、
引数
- 直接 --get-パススルー { ipv4 | ipv6 | eb }
ipv値のすべての永続的なパススルールールを改行で区切ったリストとして取得します。
優先順位と引数。
- 直接 -追加-パススルー { ipv4 | ipv6 | eb } 引数
引数を使用して永続的なパススルールールを追加します 引数 ipv値の場合。
- 直接 -削除-パススルー { ipv4 | ipv6 | eb } 引数
引数を含む永続的なパススルールールを削除します 引数 ipv値の場合。
- 直接 -クエリパススルー { ipv4 | ipv6 | eb } 引数
引数付きの永続的なパススルールールかどうかを返す 引数 ipvに存在します
価値。 trueの場合は0を返し、それ以外の場合は1を返します。
ロックダウン オプション
ローカルアプリケーションまたはサービスは、ファイアウォールの構成を変更できます。
ルート(例:libvirt)として実行されているか、PolicyKitを使用して認証されています。 この機能で
管理者はファイアウォール構成をロックして、ロックダウン中のアプリケーションのみをロックできます
ホワイトリストはファイアウォールの変更を要求できます。
ロックダウンアクセスチェックは、ファイアウォールルールを変更するD-Busメソッドを制限します。 クエリ、
listメソッドとgetメソッドは制限されていません。
ロックダウン機能は、ユーザーおよびアプリケーションポリシーの非常に軽量なバージョンです。
Firewalldであり、デフォルトでオフになっています。
-封鎖-オン
ロックダウンを有効にします。 注意してください-ファイアウォールコマンドがロックダウンホワイトリストにない場合は、
ロックダウンを有効にすると、firewall-cmdで再度無効にすることはできなくなります。
Firewalld.confを編集する必要があります。
-封鎖-オフ
ロックダウンを無効にします。
--クエリロックダウン
ロックダウンが有効になっているかどうかを照会します。 ロックダウンが有効になっている場合は0を返し、そうでない場合は1を返します。
ロックダウン ホワイトリスト オプション
ロックダウンホワイトリストには、 コマンド, 文脈, users & user イド.
ホワイトリストのコマンドエントリがアスタリスク「*」で終わっている場合は、すべてのコマンドライン
コマンドで始まるものは一致します。 '*'がない場合は絶対コマンド
包括的引数は一致する必要があります。
ユーザーrootとその他のコマンドは、常に同じであるとは限りません。 例:rootとして
/ bin / Firewall-cmd 通常のユーザーとして使用されます / usr / bin / Firewall-cmd Fedoraで使用されます。
コンテキストは、実行中のアプリケーションまたはサービスのセキュリティ(SELinux)コンテキストです。 取得するため
実行中のアプリケーションの使用状況 ps -e - 環境.
警告: コンテキストが制限されていない場合、これにより、
希望するアプリケーション。
ロックダウンホワイトリストのエントリは、次の順序でチェックされます。
1. コンテキスト
2. UID
3. user
4. command
--list-lockdown-whitelist-コマンド
ホワイトリストにあるすべてのコマンドラインを一覧表示します。
--add-ロックダウン-ホワイトリスト-コマンド= command
加えます command ホワイトリストに追加します。
--ロックダウンホワイトリスト削除コマンド= command
削除する command ホワイトリストから。
--クエリ ロックダウン ホワイトリスト コマンド= command
かどうかをクエリします command ホワイトリストに載っています。 trueの場合は0を返し、それ以外の場合は1を返します。
--list-lockdown-whitelist-contexts
ホワイトリストにあるすべてのコンテキストを一覧表示します。
--ロックダウン-ホワイトリスト-コンテキストの追加=コンテキスト
コンテキストを追加する コンテキスト ホワイトリストに追加します。
--ロックダウン-ホワイトリスト-コンテキストを削除=コンテキスト
削除する コンテキスト ホワイトリストから。
--クエリ-ロックダウン-ホワイトリスト-コンテキスト=コンテキスト
かどうかをクエリします コンテキスト ホワイトリストに載っています。 trueの場合は0を返し、それ以外の場合は1を返します。
--list-lockdown-whitelist-uids
ホワイトリストにあるすべてのユーザーIDを一覧表示します。
--add-ロックダウン-ホワイトリスト-uid=UID
ユーザーIDを追加します UID ホワイトリストに追加します。
--ロックダウン-ホワイトリスト-uid を削除=UID
ユーザーIDを削除します UID ホワイトリストから。
--クエリ-ロックダウン-ホワイトリスト-uid=UID
ユーザーIDかどうかを照会する UID ホワイトリストに載っています。 trueの場合は0を返し、それ以外の場合は1を返します。
--list-lockdown-whitelist-users
ホワイトリストにあるすべてのユーザー名を一覧表示します。
--add-ロックダウン-ホワイトリスト-ユーザー=user
ユーザー名を追加します user ホワイトリストに追加します。
--ロックダウン-ホワイトリスト-ユーザーの削除=user
ユーザー名を削除します user ホワイトリストから。
--クエリ-ロックダウン-ホワイトリスト-ユーザー=user
ユーザー名かどうかを照会する user ホワイトリストに載っています。 trueの場合は0を返し、それ以外の場合は1を返します。
ポリシー オプション
-- ポリシー サーバー
Polkitアクションを「サーバー」に変更します(より制限されています)
--ポリシーデスクトップ
Polkitアクションを「デスクトップ」に変更します(制限が少ない)
onworks.netサービスを使用してオンラインでfirewall-offline-cmdを使用する
