ນີ້ແມ່ນຄໍາສັ່ງ firewall-cmd ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
firewall-cmd - firewalld command line client
ສະຫຼຸບສັງລວມ
firewall-cmd [ຕົວເລືອກ...]
ລາຍລະອຽດ
firewall-cmd ແມ່ນລູກຄ້າແຖວຄໍາສັ່ງຂອງ firewalld daemon. ມັນສະຫນອງການໂຕ້ຕອບກັບ
ຈັດການ runtime ແລະການຕັ້ງຄ່າຖາວອນ.
ການຕັ້ງຄ່າ runtime ໃນ firewalld ແມ່ນແຍກອອກຈາກການຕັ້ງຄ່າຖາວອນ. ນີ້
ຫມາຍຄວາມວ່າສິ່ງຕ່າງໆສາມາດປ່ຽນແປງໃນເວລາແລ່ນຫຼືການຕັ້ງຄ່າຖາວອນ.
OPTIONS
ທາງເລືອກດັ່ງຕໍ່ໄປນີ້ແມ່ນສະຫນັບສະຫນູນ:
ໂດຍທົ່ວໄປ ທາງເລືອກໃນການ
-h, - ຊ່ວຍ
ພິມຂໍ້ຄວາມຊ່ວຍເຫຼືອສັ້ນໆ ແລະອອກ.
-V, - ການປ່ຽນແປງ
ພິມສະບັບພາສາຂອງ firewalld. ທາງເລືອກນີ້ແມ່ນບໍ່ສາມາດປະສົມກັບອື່ນໆ
ຕົວເລືອກ
-q, --ງຽບ
ຢ່າພິມຂໍ້ຄວາມສະຖານະ.
ສະຖານະພາບ ທາງເລືອກໃນການ
-- ລັດ
ກວດເບິ່ງວ່າ firewalld daemon ເຮັດວຽກຫຼືບໍ່ (ເຊັ່ນ: ແລ່ນ). ຕອບລະຫັດອອກ 0 ຖ້າ
ມັນເປັນການເຄື່ອນໄຫວ, NOT_RUNNING ຖ້າບໍ່ດັ່ງນັ້ນ (ເບິ່ງພາກເອີ້ນວ່າ “ລະຫັດອອກ”). ນີ້ຈະ
ຍັງພິມລັດໄປ STDOUT.
--ໂຫຼດໃໝ່
ໂຫຼດກົດລະບຽບໄຟວໍຄືນໃໝ່ ແລະຮັກສາຂໍ້ມູນສະຖານະ. ການຕັ້ງຄ່າຖາວອນໃນປະຈຸບັນຈະ
ກາຍເປັນການຕັ້ງຄ່າ runtime ໃຫມ່, ເຊັ່ນວ່າ runtime ທັງຫມົດມີພຽງແຕ່ການປ່ຽນແປງເຮັດໄດ້ຈົນກ່ວາ reload ແມ່ນ
ສູນເສຍໄປກັບການໂຫຼດຄືນໃໝ່ຖ້າພວກມັນບໍ່ຢູ່ໃນການຕັ້ງຄ່າຖາວອນ.
-- ໂຫຼດຄືນໃໝ່
ໂຫຼດ firewall ຄືນໃໝ່ຢ່າງສົມບູນ, ແມ່ນແຕ່ໂມດູນ netfilter kernel. ນີ້ອາດຈະເປັນໄປໄດ້ຫຼາຍທີ່ສຸດ
ຢຸດການເຊື່ອມຕໍ່ທີ່ໃຊ້ວຽກ, ເພາະວ່າຂໍ້ມູນຂອງລັດແມ່ນສູນເສຍ. ທາງເລືອກນີ້ຄວນ
ໃຊ້ພຽງແຕ່ໃນກໍລະນີຂອງບັນຫາໄຟວໍຮ້າຍແຮງ. ສໍາລັບຕົວຢ່າງ, ຖ້າມີລັດ
ບັນຫາຂໍ້ມູນທີ່ບໍ່ມີການເຊື່ອມຕໍ່ສາມາດຖືກສ້າງຕັ້ງຂຶ້ນດ້ວຍໄຟວໍທີ່ຖືກຕ້ອງ
ກົດລະບຽບ.
--runtime-to-ຖາວອນ
ບັນທຶກການຕັ້ງຄ່າ runtime ທີ່ໃຊ້ວຽກ ແລະຂຽນທັບການຕັ້ງຄ່າຖາວອນກັບມັນ. ໄດ້
ວິທີການນີ້ຄວນຈະເຮັດວຽກແມ່ນວ່າເມື່ອ configure firewalld ທ່ານຈະປ່ຽນເວລາແລ່ນ
ພຽງແຕ່ແລະເມື່ອທ່ານພໍໃຈກັບການຕັ້ງຄ່າແລະທ່ານທົດສອບວ່າມັນເຮັດວຽກຕາມທາງ
ທ່ານຕ້ອງການ, ທ່ານບັນທຶກການຕັ້ງຄ່າໃສ່ແຜ່ນ.
--get-log-ປະຕິເສດ
ພິມບັນທຶກປະຕິເສດການຕັ້ງຄ່າ.
--set-log-ປະຕິເສດ=ມູນຄ່າ
ເພີ່ມກົດລະບຽບການບັນທຶກທັນທີກ່ອນທີ່ຈະປະຕິເສດແລະວາງກົດລະບຽບໃນ INPUT, FORWARD ແລະ OUTPUT
ລະບົບຕ່ອງໂສ້ສໍາລັບກົດລະບຽບເລີ່ມຕົ້ນແລະຍັງປະຕິເສດສຸດທ້າຍແລະຫຼຸດລົງກົດລະບຽບໃນເຂດສໍາລັບ
ປະເພດແພັກເກັດຊັ້ນເຊື່ອມຕໍ່ທີ່ກຳນົດຄ່າ. ຄ່າທີ່ເປັນໄປໄດ້ແມ່ນ: ທັງຫມົດ, unicast, ການອອກອາກາດ,
ມັນຕິ ແລະ ໄປ. ການຕັ້ງຄ່າເລີ່ມຕົ້ນແມ່ນ ໄປ, ເຊິ່ງປິດການເຂົ້າສູ່ລະບົບ.
ນີ້ແມ່ນເວລາແລ່ນ ແລະການປ່ຽນແປງຖາວອນ ແລະຍັງຈະໂຫຼດ firewall ຄືນໃໝ່ເພື່ອໃຫ້ສາມາດ
ເພີ່ມລະບຽບການຕັດໄມ້.
ຖາວອນ ທາງເລືອກໃນການ
-- ຖາວອນ
ທາງເລືອກຖາວອນ -- ຖາວອນ ສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດທາງເລືອກຢ່າງຖາວອນ. ການປ່ຽນແປງເຫຼົ່ານີ້
ບໍ່ມີປະສິດຕິຜົນໃນທັນທີ, ພຽງແຕ່ຫຼັງຈາກການບໍລິການ restart / reload ຫຼື reboot ລະບົບ.
ໂດຍບໍ່ມີການ -- ຖາວອນ ທາງເລືອກ, ການປ່ຽນແປງຈະເປັນສ່ວນຫນຶ່ງຂອງ runtime ເທົ່ານັ້ນ
ການຕັ້ງຄ່າ
ຖ້າທ່ານຕ້ອງການເຮັດການປ່ຽນແປງໃນ runtime ແລະການຕັ້ງຄ່າຖາວອນ, ໃຫ້ໃຊ້ການໂທດຽວກັນ
ມີ ແລະບໍ່ມີ -- ຖາວອນ ທາງເລືອກ.
ໄດ້ -- ຖາວອນ ທາງເລືອກທີ່ສາມາດໄດ້ຮັບການເພີ່ມທາງເລືອກໃນການທັງຫມົດທາງເລືອກໃນຕໍ່ໄປບ່ອນທີ່ມັນແມ່ນ
ສະຫນັບສະຫນູນ.
ເຂດ ທາງເລືອກໃນການ
--get-default-zone
ພິມເຂດມາດຕະຖານສໍາລັບການເຊື່ອມຕໍ່ ແລະສ່ວນຕິດຕໍ່.
--set-default-zone=ເຂດ
ຕັ້ງເຂດເລີ່ມຕົ້ນສໍາລັບການເຊື່ອມຕໍ່ ແລະສ່ວນຕິດຕໍ່ທີ່ບໍ່ໄດ້ເລືອກເຂດໃດນຶ່ງ.
ການຕັ້ງຄ່າເຂດເລີ່ມຕົ້ນປ່ຽນເຂດສໍາລັບການເຊື່ອມຕໍ່ຫຼືການໂຕ້ຕອບ, ນັ້ນແມ່ນ
ໃຊ້ເຂດເລີ່ມຕົ້ນ.
ນີ້ແມ່ນເວລາແລ່ນ ແລະການປ່ຽນແປງຖາວອນ.
--get-active-zones
ພິມເຂດທີ່ນຳໃຊ້ຢູ່ໃນປະຈຸບັນ ພ້ອມກັບສ່ວນຕິດຕໍ່ ແລະແຫຼ່ງທີ່ມາທີ່ໃຊ້ໃນສິ່ງເຫຼົ່ານີ້
ເຂດ. ເຂດທີ່ໃຊ້ວຽກແມ່ນເຂດ, ທີ່ມີການຜູກມັດກັບສ່ວນຕິດຕໍ່ ຫຼືແຫຼ່ງທີ່ມາ. ໄດ້
ຮູບແບບຜົນຜະລິດແມ່ນ:
ເຂດ 1
ອິນເຕີເຟດ: ການໂຕ້ຕອບ 1 ການໂຕ້ຕອບ 2 ..
ແຫຼ່ງຂໍ້ມູນ: ແຫຼ່ງຂໍ້ມູນ1 ..
ເຂດ 2
ອິນເຕີເຟດ: ການໂຕ້ຕອບ 3 ..
ເຂດ 3
ແຫຼ່ງຂໍ້ມູນ: ແຫຼ່ງຂໍ້ມູນ2 ..
ຖ້າບໍ່ມີການໂຕ້ຕອບຫຼືແຫຼ່ງທີ່ຜູກມັດກັບເຂດ, ເສັ້ນທີ່ສອດຄ້ອງກັນຈະ
ຖືກລະເວັ້ນ.
[-- ຖາວອນ] --get-zones
ພິມເຂດທີ່ກຳນົດໄວ້ລ່ວງໜ້າເປັນລາຍການແຍກພື້ນທີ່.
[-- ຖາວອນ] -- ການບໍລິການ
ພິມການບໍລິການທີ່ກໍານົດໄວ້ລ່ວງໜ້າເປັນລາຍການທີ່ແຍກອອກຈາກພື້ນທີ່.
[-- ຖາວອນ] --get-icmptypes
ພິມ icmptypes ທີ່ໄດ້ກໍານົດໄວ້ລ່ວງໜ້າເປັນລາຍການແຍກຊ່ອງ.
[-- ຖາວອນ] --get-zone-of-interface=ການໂຕ້ຕອບ
ພິມຊື່ຂອງເຂດໄດ້ ການໂຕ້ຕອບ ຖືກຜູກມັດກັບຫຼື no ເຂດ.
[-- ຖາວອນ] --get-zone-of-source=ແຫຼ່ງ[/ຫນ້າກາກ]
ພິມຊື່ຂອງເຂດໄດ້ ແຫຼ່ງ[/ຫນ້າກາກ] ຜູກພັນກັບຫຼື no ເຂດ.
[-- ຖາວອນ] --info-zone=ເຂດ
ພິມຂໍ້ມູນກ່ຽວກັບເຂດ ເຂດ. ຮູບແບບຜົນຜະລິດແມ່ນ:
ເຂດ
ອິນເຕີເຟດ: ການໂຕ້ຕອບ 1 ..
ແຫຼ່ງຂໍ້ມູນ: ແຫຼ່ງຂໍ້ມູນ1 ..
ການບໍລິການ: service1 ..
ທ່າເຮືອ: ພອດ1 ..
ພິທີການ: ພິທີການ1 ..
Forward-ports:
forward-port1
..
icmp-block: icmp-type1 ..
ກົດລະບຽບທີ່ອຸດົມສົມບູນ:
ກົດລະບຽບອຸດົມສົມບູນ 1
..
[-- ຖາວອນ] --list-all-zones
ບອກທຸກຢ່າງທີ່ເພີ່ມໃສ່ ຫຼືເປີດໃຊ້ໃນທຸກເຂດ. ຮູບແບບຜົນຜະລິດແມ່ນ:
ເຂດ 1
ອິນເຕີເຟດ: ການໂຕ້ຕອບ 1 ..
ແຫຼ່ງຂໍ້ມູນ: ແຫຼ່ງຂໍ້ມູນ1 ..
ການບໍລິການ: service1 ..
ທ່າເຮືອ: ພອດ1 ..
ພິທີການ: ພິທີການ1 ..
Forward-ports:
forward-port1
..
icmp-block: icmp-type1 ..
ກົດລະບຽບທີ່ອຸດົມສົມບູນ:
ກົດລະບຽບອຸດົມສົມບູນ 1
..
..
-- ຖາວອນ --ເຂດໃໝ່=ເຂດ
ເພີ່ມເຂດຖາວອນໃໝ່.
-- ຖາວອນ --delete-zone=ເຂດ
ລຶບເຂດຖາວອນທີ່ມີຢູ່ແລ້ວ.
-- ຖາວອນ [--ເຂດ=ເຂດ] --get-ເປົ້າຫມາຍ
ໄດ້ຮັບເປົ້າຫມາຍຂອງເຂດຖາວອນ.
-- ຖາວອນ [--ເຂດ=ເຂດ] --ຕັ້ງເປົ້າຫມາຍ=ເປົ້າຫມາຍ
ກໍານົດເປົ້າຫມາຍຂອງເຂດຖາວອນ. ເປົ້າຫມາຍ ແມ່ນຫນຶ່ງໃນ: Default, ຍອມຮັບ, ຢຸດ, ປະຕິເສດ
ທາງເລືອກໃນການ to Adapt ແລະ ການສອບຖາມ ເຂດ
ທາງເລືອກໃນພາກນີ້ມີຜົນກະທົບພຽງແຕ່ຫນຶ່ງເຂດສະເພາະ. ຖ້າໃຊ້ກັບ --ເຂດ=ເຂດ ທາງເລືອກ,
ພວກມັນມີຜົນກະທົບຕໍ່ເຂດ ເຂດ. ຖ້າຕົວເລືອກຖືກລະເວັ້ນ, ພວກມັນມີຜົນກະທົບຕໍ່ເຂດເລີ່ມຕົ້ນ (ເບິ່ງ
--get-default-zone).
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --list-all
ບອກທຸກຢ່າງທີ່ເພີ່ມໃສ່ ຫຼືເປີດໃຊ້ງານໃນ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະເປັນ
ໃຊ້ແລ້ວ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --ລາຍການ-ການບໍລິການ
ລາຍຊື່ການບໍລິການເພີ່ມສໍາລັບ ເຂດ ເປັນລາຍການແຍກຊ່ອງ. ຖ້າເຂດຖືກລະເວັ້ນ, ເປັນຄ່າເລີ່ມຕົ້ນ
ເຂດຈະຖືກນໍາໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] -- ຕື່ມການບໍລິການ=ການບໍລິການ [--ຫມົດເວລາ=ເວລາ]
ເພີ່ມການບໍລິການສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ທາງເລືອກນີ້ສາມາດ
ຈະຖືກລະບຸຫຼາຍຄັ້ງ. ຖ້າຫາກວ່າຫມົດເວລາແມ່ນສະຫນອງໃຫ້, ກົດລະບຽບຈະມີການເຄື່ອນໄຫວສໍາລັບການ
ຈໍານວນເວລາທີ່ກໍານົດໄວ້ແລະຈະຖືກລຶບອອກອັດຕະໂນມັດຫຼັງຈາກນັ້ນ. ເວລາ is
ບໍ່ວ່າຈະເປັນຕົວເລກ (ຂອງວິນາທີ) ຫຼືຕົວເລກຕາມດ້ວຍຕົວອັກສອນອັນໜຶ່ງ s (ວິນາທີ), m
(ນາທີ), h (ຊົ່ວໂມງ), ສໍາລັບການຍົກຕົວຢ່າງ 20m or 1h.
ການບໍລິການແມ່ນຫນຶ່ງໃນການບໍລິການ firewalld ສະຫນອງໃຫ້. ເພື່ອໃຫ້ໄດ້ຮັບບັນຊີລາຍຊື່ຂອງສະຫນັບສະຫນູນ
ການບໍລິການ, ການນໍາໃຊ້ firewall-cmd -- ການບໍລິການ.
ໄດ້ --ຫມົດເວລາ ທາງເລືອກແມ່ນບໍ່ສາມາດສົມທົບກັບ -- ຖາວອນ ທາງເລືອກ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --remove-service=ການບໍລິການ
ເອົາການບໍລິການອອກຈາກ ເຂດ. ທາງເລືອກນີ້ສາມາດຖືກກໍານົດຫຼາຍຄັ້ງ. ຖ້າເຂດ
ຍົກເລີກ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --ການສອບຖາມການບໍລິການ=ການບໍລິການ
ກັບຄືນບໍ່ວ່າຈະ ການບໍລິການ ໄດ້ຖືກເພີ່ມສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະ
ຖືກນໍາໃຊ້. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --list-ports
ລາຍຊື່ພອດເພີ່ມສໍາລັບ ເຂດ ເປັນລາຍການແຍກຊ່ອງ. ພອດແມ່ນຮູບແບບ
portid[-portid]/protocol, ມັນສາມາດເປັນຄູ່ພອດ ແລະໂປຣໂຕຄໍ ຫຼືຊ່ວງພອດ
ດ້ວຍພິທີການ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --add-port=portid[-portid]/protocol [--ຫມົດເວລາ=ເວລາ]
ເພີ່ມພອດສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ທາງເລືອກນີ້ສາມາດ
ຈະຖືກລະບຸຫຼາຍຄັ້ງ. ຖ້າຫາກວ່າຫມົດເວລາແມ່ນສະຫນອງໃຫ້, ກົດລະບຽບຈະມີການເຄື່ອນໄຫວສໍາລັບການ
ຈໍານວນເວລາທີ່ກໍານົດໄວ້ແລະຈະຖືກລຶບອອກອັດຕະໂນມັດຫຼັງຈາກນັ້ນ. ເວລາ is
ບໍ່ວ່າຈະເປັນຕົວເລກ (ຂອງວິນາທີ) ຫຼືຕົວເລກຕາມດ້ວຍຕົວອັກສອນອັນໜຶ່ງ s (ວິນາທີ), m
(ນາທີ), h (ຊົ່ວໂມງ), ສໍາລັບການຍົກຕົວຢ່າງ 20m or 1h.
ພອດສາມາດເປັນໝາຍເລກພອດດຽວ ຫຼືໄລຍະຜອດໄດ້ portid-portid. ໄດ້
ພິທີການສາມາດເປັນໄປໄດ້ tcp or udp.
ໄດ້ --ຫມົດເວລາ ທາງເລືອກແມ່ນບໍ່ສາມາດສົມທົບກັບ -- ຖາວອນ ທາງເລືອກ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --remove-port=portid[-portid]/protocol
ເອົາພອດອອກຈາກ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ທາງເລືອກນີ້
ສາມາດລະບຸໄດ້ຫຼາຍຄັ້ງ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --query-port=portid[-portid]/protocol
ກັບຄືນວ່າພອດໄດ້ຖືກເພີ່ມສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະ
ຖືກນໍາໃຊ້. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --list-protocols
ລາຍຊື່ໂປຣໂຕຄໍເພີ່ມສໍາລັບ ເຂດ ເປັນລາຍການແຍກຊ່ອງ. ຖ້າເຂດຖືກລະເວັ້ນ, ເປັນຄ່າເລີ່ມຕົ້ນ
ເຂດຈະຖືກນໍາໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --add-protocol=protocol [--ຫມົດເວລາ=ເວລາ]
ເພີ່ມໂປໂຕຄອນສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ທາງເລືອກນີ້
ສາມາດລະບຸໄດ້ຫຼາຍຄັ້ງ. ຖ້າເວລາໝົດເວລາຖືກສະໜອງໃຫ້, ກົດລະບຽບຈະມີການເຄື່ອນໄຫວ
ຈໍານວນເວລາທີ່ກໍານົດໄວ້ແລະຈະຖືກລຶບອອກອັດຕະໂນມັດຫຼັງຈາກນັ້ນ. ເວລາ is
ບໍ່ວ່າຈະເປັນຕົວເລກ (ຂອງວິນາທີ) ຫຼືຕົວເລກຕາມດ້ວຍຕົວອັກສອນອັນໜຶ່ງ s (ວິນາທີ), m
(ນາທີ), h (ຊົ່ວໂມງ), ສໍາລັບການຍົກຕົວຢ່າງ 20m or 1h.
ໂປຣໂຕຄໍສາມາດເປັນໂປຣໂຕຄໍໃດກໍໄດ້ທີ່ລະບົບຮອງຮັບ. ກະລຸນາເບິ່ງ
/ etc / ໂປໂຕຄອນ ສໍາລັບໂປໂຕຄອນທີ່ສະຫນັບສະຫນູນ.
ໄດ້ --ຫມົດເວລາ ທາງເລືອກແມ່ນບໍ່ສາມາດສົມທົບກັບ -- ຖາວອນ ທາງເລືອກ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --remove-protcol=protocol
ເອົາໂປໂຕຄອນອອກຈາກ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ນີ້
ທາງເລືອກສາມາດຖືກລະບຸຫຼາຍຄັ້ງ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --query-protocol=protocol
ກັບຄືນວ່າໂປໂຕຄອນໄດ້ຖືກເພີ່ມສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນ
ຈະຖືກນໍາໃຊ້. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --list-icmp-blocks
ລາຍການ Internet Control Message Protocol (ICMP) type blocks added for ເຂດ ເປັນຊ່ອງ
ລາຍການແຍກອອກ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --add-icmp-block=icmptype [--ຫມົດເວລາ=ເວລາ]
ເພີ່ມຕັນ ICMP ສໍາລັບ icmptype ສໍາລັບການ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະເປັນ
ໃຊ້. ທາງເລືອກນີ້ສາມາດຖືກກໍານົດຫຼາຍຄັ້ງ. ຖ້າເວລາຫມົດເວລາໄດ້ຖືກສະຫນອງ, ກົດລະບຽບ
ຈະມີການເຄື່ອນໄຫວໃນຈໍານວນເວລາທີ່ກໍານົດໄວ້ແລະຈະຖືກລຶບອອກໂດຍອັດຕະໂນມັດ
ຫລັງຈາກນັ້ນ. ເວລາ ເປັນຕົວເລກ (ຂອງວິນາທີ) ຫຼືຕົວເລກຕາມດ້ວຍໜຶ່ງໃນ
ລັກສະນະ s (ວິນາທີ), m (ນາທີ), h (ຊົ່ວໂມງ), ສໍາລັບການຍົກຕົວຢ່າງ 20m or 1h.
ໄດ້ icmptype ແມ່ນຫນຶ່ງໃນປະເພດ icmp firewalld ສະຫນັບສະຫນູນ. ເພື່ອໃຫ້ໄດ້ຮັບບັນຊີລາຍຊື່ຂອງ
ປະເພດ icmp ສະຫນັບສະຫນູນ: firewall-cmd --get-icmptypes
ໄດ້ --ຫມົດເວລາ ທາງເລືອກແມ່ນບໍ່ສາມາດສົມທົບກັບ -- ຖາວອນ ທາງເລືອກ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --remove-icmp-block=icmptype
ເອົາບລັອກ ICMP ສໍາລັບ icmptype ຈາກ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະເປັນ
ໃຊ້. ທາງເລືອກນີ້ສາມາດຖືກກໍານົດຫຼາຍຄັ້ງ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --query-icmp-block=icmptype
ກັບຄືນບໍ່ວ່າຈະເປັນຕັນ ICMP ສໍາລັບ icmptype ໄດ້ຖືກເພີ່ມສໍາລັບ ເຂດ. ຖ້າເຂດຖືກຍົກເວັ້ນ,
ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --list-forward-ports
ບັນຊີລາຍຊື່ IPv4 forward ports ເພີ່ມສໍາລັບ ເຂດ ເປັນລາຍການແຍກຊ່ອງ. ຖ້າເຂດຖືກຍົກເວັ້ນ,
ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
ສໍາລັບການ IPv6 ທ່າເຮືອສົ່ງຕໍ່, ກະລຸນາໃຊ້ພາສາທີ່ອຸດົມສົມບູນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ]
--add-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=ທີ່ຢູ່[/ຫນ້າກາກ]]
[--ຫມົດເວລາ=ເວລາ]
ຕື່ມການ IPv4 forward port ສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
ທາງເລືອກນີ້ສາມາດຖືກກໍານົດຫຼາຍຄັ້ງ. ຖ້າເວລາຫມົດເວລາຖືກສະຫນອງ, ກົດລະບຽບຈະ
ເຄື່ອນໄຫວເປັນເວລາທີ່ກຳນົດໄວ້ ແລະຈະຖືກລຶບອອກໂດຍອັດຕະໂນມັດ
ຫລັງຈາກນັ້ນ. ເວລາ ເປັນຕົວເລກ (ຂອງວິນາທີ) ຫຼືຕົວເລກຕາມດ້ວຍໜຶ່ງໃນ
ລັກສະນະ s (ວິນາທີ), m (ນາທີ), h (ຊົ່ວໂມງ), ສໍາລັບການຍົກຕົວຢ່າງ 20m or 1h.
ພອດສາມາດເປັນໝາຍເລກພອດດຽວ portid ຫຼືຊ່ວງພອດ portid-portid. ໄດ້
ພິທີການສາມາດເປັນໄປໄດ້ tcp or udp. ທີ່ຢູ່ປາຍທາງແມ່ນເປັນທີ່ຢູ່ IP ທີ່ງ່າຍດາຍ.
ໄດ້ --ຫມົດເວລາ ທາງເລືອກແມ່ນບໍ່ສາມາດສົມທົບກັບ -- ຖາວອນ ທາງເລືອກ.
ສໍາລັບການ IPv6 ທ່າເຮືອສົ່ງຕໍ່, ກະລຸນາໃຊ້ພາສາທີ່ອຸດົມສົມບູນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ]
--remove-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=ທີ່ຢູ່[/ຫນ້າກາກ]]
ດຶງອອກຈາກ IPv4 forward port ຈາກ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
ທາງເລືອກນີ້ສາມາດຖືກກໍານົດຫຼາຍຄັ້ງ.
ສໍາລັບການ IPv6 ທ່າເຮືອສົ່ງຕໍ່, ກະລຸນາໃຊ້ພາສາທີ່ອຸດົມສົມບູນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ]
--query-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=ທີ່ຢູ່[/ຫນ້າກາກ]]
ກັບຄືນບໍ່ວ່າຈະເປັນ IPv4 forward port ໄດ້ຖືກເພີ່ມສໍາລັບ ເຂດ. ຖ້າເຂດຖືກຍົກເວັ້ນ,
ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
ສໍາລັບການ IPv6 ທ່າເຮືອສົ່ງຕໍ່, ກະລຸນາໃຊ້ພາສາທີ່ອຸດົມສົມບູນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --add-masquerade [--ຫມົດເວລາ=ເວລາ]
ເປີດນໍາໃຊ້ IPv4 masquerade ສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ຖ້າ ກ
ການໝົດເວລາແມ່ນສະໜອງໃຫ້, ການຫຼອກລວງຈະມີການເຄື່ອນໄຫວຕາມເວລາທີ່ກຳນົດໄວ້.
ເວລາ ແມ່ນຕົວເລກ (ຂອງວິນາທີ) ຫຼືຕົວເລກຕາມດ້ວຍຕົວອັກສອນອັນໜຶ່ງ s
(ວິນາທີ), m (ນາທີ), h (ຊົ່ວໂມງ), ສໍາລັບການຍົກຕົວຢ່າງ 20m or 1h. Masquerading ແມ່ນເປັນປະໂຫຍດຖ້າຫາກວ່າ
ເຄື່ອງແມ່ນ router ແລະເຄື່ອງທີ່ເຊື່ອມຕໍ່ຜ່ານການໂຕ້ຕອບໃນເຂດອື່ນ
ຄວນຈະສາມາດນໍາໃຊ້ການເຊື່ອມຕໍ່ທໍາອິດ.
ໄດ້ --ຫມົດເວລາ ທາງເລືອກແມ່ນບໍ່ສາມາດສົມທົບກັບ -- ຖາວອນ ທາງເລືອກ.
ສໍາລັບການ IPv6 masquerading, ກະລຸນາໃຊ້ພາສາທີ່ອຸດົມສົມບູນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --remove-masquerade
ປິດການທໍາງານ IPv4 masquerade ສໍາລັບ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ຖ້າ
ການ masquerading ໄດ້ຖືກເປີດໃຊ້ດ້ວຍການຫມົດເວລາ, ມັນຈະຖືກປິດໃຊ້ງານເຊັ່ນກັນ.
ສໍາລັບການ IPv6 masquerading, ກະລຸນາໃຊ້ພາສາທີ່ອຸດົມສົມບູນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --query-masquerade
ກັບຄືນບໍ່ວ່າຈະ IPv4 masquerading ໄດ້ຖືກເປີດໃຊ້ສໍາລັບ ເຂດ. ຖ້າເຂດຖືກຍົກເວັ້ນ,
ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
ສໍາລັບການ IPv6 masquerading, ກະລຸນາໃຊ້ພາສາທີ່ອຸດົມສົມບູນ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --list-rich-ກົດລະບຽບ
ລາຍຊື່ກົດລະບຽບພາສາທີ່ອຸດົມສົມບູນເພີ່ມສໍາລັບ ເຂດ ເປັນລາຍການແຍກແຖວໃໝ່. ຖ້າເຂດ
ຍົກເລີກ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --add-rich-ກົດລະບຽບ='ກົດລະບຽບ' [--ຫມົດເວລາ=ເວລາ]
ເພີ່ມກົດລະບຽບພາສາອຸດົມສົມບູນ 'ກົດລະບຽບ' ສໍາລັບ ເຂດ. ທາງເລືອກນີ້ສາມາດຖືກກໍານົດຫຼາຍຄັ້ງ.
ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ຖ້າຫາກວ່າຫມົດເວລາແມ່ນໄດ້ສະຫນອງໃຫ້, ໄດ້ ກົດລະບຽບ ຈະ
ເຄື່ອນໄຫວເປັນເວລາທີ່ກຳນົດໄວ້ ແລະຈະຖືກລຶບອອກໂດຍອັດຕະໂນມັດ
ຫລັງຈາກນັ້ນ. ເວລາ ເປັນຕົວເລກ (ຂອງວິນາທີ) ຫຼືຕົວເລກຕາມດ້ວຍໜຶ່ງໃນ
ລັກສະນະ s (ວິນາທີ), m (ນາທີ), h (ຊົ່ວໂມງ), ສໍາລັບການຍົກຕົວຢ່າງ 20m or 1h.
ສໍາລັບ syntax ກົດລະບຽບພາສາອຸດົມສົມບູນ, ກະລຸນາເບິ່ງ firewalld.richlanguage(5).
ໄດ້ --ຫມົດເວລາ ທາງເລືອກແມ່ນບໍ່ສາມາດສົມທົບກັບ -- ຖາວອນ ທາງເລືອກ.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --remove-rich-rule='ກົດລະບຽບ'
ເອົາກົດລະບຽບພາສາອຸດົມສົມບູນ 'ກົດລະບຽບ' ຈາກ ເຂດ. ທາງເລືອກນີ້ສາມາດຖືກກໍານົດຫຼາຍ
ເທື່ອ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
ສໍາລັບ syntax ກົດລະບຽບພາສາອຸດົມສົມບູນ, ກະລຸນາເບິ່ງ firewalld.richlanguage(5).
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --query-rich-rule='ກົດລະບຽບ'
ກັບຄືນບໍ່ວ່າຈະເປັນກົດລະບຽບພາສາອຸດົມສົມບູນ 'ກົດລະບຽບ' ໄດ້ຖືກເພີ່ມສໍາລັບ ເຂດ. ຖ້າເຂດ
ຍົກເລີກ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
ສໍາລັບ syntax ກົດລະບຽບພາສາອຸດົມສົມບູນ, ກະລຸນາເບິ່ງ firewalld.richlanguage(5).
ທາງເລືອກໃນການ to ຈັດການ ຜູກມັດ of ການໂຕ້ຕອບ
ການຜູກມັດສ່ວນຕິດຕໍ່ກັບເຂດໃດໜຶ່ງໝາຍຄວາມວ່າການຕັ້ງຄ່າເຂດນີ້ຖືກໃຊ້ເພື່ອຈຳກັດການສັນຈອນ
ໂດຍຜ່ານການໂຕ້ຕອບ.
ທາງເລືອກໃນພາກນີ້ມີຜົນກະທົບພຽງແຕ່ຫນຶ່ງເຂດສະເພາະ. ຖ້າໃຊ້ກັບ --ເຂດ=ເຂດ ທາງເລືອກ,
ພວກມັນມີຜົນກະທົບຕໍ່ເຂດ ເຂດ. ຖ້າຕົວເລືອກຖືກລະເວັ້ນ, ພວກມັນມີຜົນກະທົບຕໍ່ເຂດເລີ່ມຕົ້ນ (ເບິ່ງ
--get-default-zone).
ສໍາລັບບັນຊີລາຍຊື່ຂອງເຂດທີ່ກໍານົດໄວ້ກ່ອນການນໍາໃຊ້ firewall-cmd --get-zones.
ຊື່ສ່ວນຕິດຕໍ່ແມ່ນສະຕຣິງຍາວເຖິງ 16 ຕົວອັກສອນ, ເຊິ່ງອາດຈະບໍ່ມີ ' ', '/', '!'
ແລະ '*'.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --list-interfaces
ລາຍຊື່ສ່ວນຕິດຕໍ່ທີ່ຜູກມັດກັບເຂດ ເຂດ ເປັນລາຍການແຍກຊ່ອງ. ຖ້າເຂດ
ຍົກເລີກ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --add-interface=ການໂຕ້ຕອບ
ຜູກມັດການໂຕ້ຕອບ ການໂຕ້ຕອບ ເຂດ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
ໃນຖານະເປັນຜູ້ໃຊ້ທີ່ສຸດທີ່ທ່ານບໍ່ຈໍາເປັນຕ້ອງນີ້ໃນກໍລະນີຫຼາຍທີ່ສຸດ, ເນື່ອງຈາກວ່າ NetworkManager (ຫຼື legacy
ການບໍລິການເຄືອຂ່າຍ) ເພີ່ມການໂຕ້ຕອບເຂົ້າໄປໃນເຂດອັດຕະໂນມັດ (ອີງຕາມ ເຂດ= ທາງເລືອກ
ຈາກ ifcfg-ການໂຕ້ຕອບ file) ຖ້າ NM_CONTROLLED=ບໍ່ ບໍ່ໄດ້ຕັ້ງ. ທ່ານຄວນເຮັດມັນພຽງແຕ່ຖ້າ
ບໍ່ມີ /etc/sysconfig/network-scripts/ifcfg-ການໂຕ້ຕອບ ໄຟລ໌. ຖ້າມີໄຟລ໌ດັ່ງກ່າວ
ແລະທ່ານເພີ່ມການໂຕ້ຕອບກັບເຂດນີ້ --add-interface ທາງເລືອກ, ໃຫ້ແນ່ໃຈວ່າເຂດແມ່ນ
ດຽວກັນໃນທັງສອງກໍລະນີ, ຖ້າບໍ່ດັ່ງນັ້ນພຶດຕິກໍາຈະບໍ່ຖືກກໍານົດ. ກະລຸນາມີ a
ເບິ່ງຢູ່ໃນ ເຕົາໄຟ(1) ຫນ້າຜູ້ຊາຍໃນ ແນວຄິດ ພາກ. ສໍາລັບສະມາຄົມຖາວອນ
ຂອງການໂຕ້ຕອບກັບເຂດ, ເບິ່ງ 'ວິທີການກໍານົດຫຼືປ່ຽນເຂດສໍາລັບການເຊື່ອມຕໍ່?' ໃນ
firewalld.zones(5).
[--ເຂດ=ເຂດ] --ການປ່ຽນແປງການໂຕ້ຕອບ=ການໂຕ້ຕອບ
ປ່ຽນເຂດການໂຕ້ຕອບ ການໂຕ້ຕອບ ຖືກຜູກມັດກັບເຂດ ເຂດ. ມັນເປັນພື້ນຖານ
--remove-interface ປະຕິບັດຕາມໂດຍ --add-interface. ຖ້າການໂຕ້ຕອບຍັງບໍ່ທັນໄດ້ຜູກມັດ
ເຂດກ່ອນ, ມັນ behaves ຄື --add-interface. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະ
ຖືກນໍາໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --ການສອບຖາມ-ການໂຕ້ຕອບ=ການໂຕ້ຕອບ
ສອບຖາມບໍ່ວ່າຈະເປັນການໂຕ້ຕອບ ການໂຕ້ຕອບ ຖືກຜູກມັດກັບເຂດ ເຂດ. ຕອບ 0 ຖ້າຖືກ, 1
ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] --remove-interface=ການໂຕ້ຕອບ
ເອົາການຜູກມັດຂອງການໂຕ້ຕອບ ການໂຕ້ຕອບ ຈາກເຂດທີ່ມັນຖືກເພີ່ມເຂົ້າໃນເມື່ອກ່ອນ.
ທາງເລືອກໃນການ to ຈັດການ ຜູກມັດ of ແຫຼ່ງຂໍ້ມູນ
ການຜູກມັດແຫຼ່ງໄປຫາເຂດໃດໜຶ່ງໝາຍຄວາມວ່າການຕັ້ງຄ່າເຂດນີ້ຈະຖືກໃຊ້ເພື່ອຈຳກັດການສັນຈອນ
ຈາກແຫຼ່ງນີ້.
ທີ່ຢູ່ແຫຼ່ງ ຫຼືໄລຍະທີ່ຢູ່ແມ່ນເປັນທີ່ຢູ່ IP ຫຼືທີ່ຢູ່ IP ເຄືອຂ່າຍທີ່ມີ a
ຫນ້າກາກສໍາລັບ IPv4 ຫຼື IPv6 ຫຼືທີ່ຢູ່ MAC (ບໍ່ມີຫນ້າກາກ). ສໍາລັບ IPv4, ຫນ້າກາກສາມາດເປັນຫນ້າກາກເຄືອຂ່າຍ
ຫຼືຕົວເລກທໍາມະດາ. ສໍາລັບ IPv6 ຫນ້າກາກແມ່ນຕົວເລກທໍາມະດາ. ການນໍາໃຊ້ຊື່ເຈົ້າພາບບໍ່ແມ່ນ
ສະຫນັບສະຫນູນ.
ທາງເລືອກໃນພາກນີ້ມີຜົນກະທົບພຽງແຕ່ຫນຶ່ງເຂດສະເພາະ. ຖ້າໃຊ້ກັບ --ເຂດ=ເຂດ ທາງເລືອກ,
ພວກມັນມີຜົນກະທົບຕໍ່ເຂດ ເຂດ. ຖ້າຕົວເລືອກຖືກລະເວັ້ນ, ພວກມັນມີຜົນກະທົບຕໍ່ເຂດເລີ່ມຕົ້ນ (ເບິ່ງ
--get-default-zone).
ສໍາລັບບັນຊີລາຍຊື່ຂອງເຂດທີ່ກໍານົດໄວ້ກ່ອນການນໍາໃຊ້ firewall-cmd [-- ຖາວອນ] --get-zones.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --list-ແຫຼ່ງ
ລາຍຊື່ແຫຼ່ງທີ່ຜູກມັດກັບເຂດ ເຂດ ເປັນລາຍການແຍກຊ່ອງ. ຖ້າເຂດ
ຍົກເລີກ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --add-source=ແຫຼ່ງ[/ຫນ້າກາກ]
ແຫຼ່ງຜູກມັດ ແຫຼ່ງ[/ຫນ້າກາກ] ກັບເຂດ ເຂດ. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
[--ເຂດ=ເຂດ] --ປ່ຽນແຫຼ່ງ=ແຫຼ່ງ[/ຫນ້າກາກ]
ປ່ຽນເຂດແຫຼ່ງ ແຫຼ່ງ[/ຫນ້າກາກ] ຖືກຜູກມັດກັບເຂດ ເຂດ. ມັນເປັນພື້ນຖານ
--remove-source ປະຕິບັດຕາມໂດຍ --add-source. ຖ້າແຫຼ່ງຍັງບໍ່ໄດ້ຖືກຜູກມັດກັບເຂດໃດນຶ່ງ
ກ່ອນ, ມັນປະຕິບັດຕົວຄື --add-source. ຖ້າເຂດຖືກລະເວັ້ນ, ເຂດເລີ່ມຕົ້ນຈະຖືກໃຊ້.
[-- ຖາວອນ] [--ເຂດ=ເຂດ] --query-source=ແຫຼ່ງ[/ຫນ້າກາກ]
ສອບຖາມວ່າແຫຼ່ງທີ່ມາ ແຫຼ່ງ[/ຫນ້າກາກ] ຖືກຜູກມັດກັບເຂດ ເຂດ. ຕອບ 0 ຖ້າຖືກ, 1
ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] --remove-source=ແຫຼ່ງ[/ຫນ້າກາກ]
ຖອນການຜູກມັດຂອງແຫຼ່ງ ແຫຼ່ງ[/ຫນ້າກາກ] ຈາກເຂດທີ່ມັນຖືກເພີ່ມໃນເມື່ອກ່ອນ.
IPSet ທາງເລືອກໃນການ
-- ຖາວອນ --new-ipset=ipset --ປະເພດ=ipset ປະເພດ [-- ທາງເລືອກ=ipset ທາງເລືອກ[=ມູນຄ່າ]]
ເພີ່ມ ipset ຖາວອນໃຫມ່ດ້ວຍການລະບຸປະເພດແລະທາງເລືອກທາງເລືອກ.
-- ຖາວອນ --delete-ipset=ipset
ລຶບ ipset ຖາວອນທີ່ມີຢູ່ແລ້ວ.
[-- ຖາວອນ] --info-ipset=ipset
ພິມຂໍ້ມູນກ່ຽວກັບ ipset ipset. ຮູບແບບຜົນຜະລິດແມ່ນ:
ipset
ປະເພດ: ປະເພດ
ຕົວເລືອກ: ທາງເລືອກ1[=value1] ..
ລາຍການ: ເຂົ້າ1 ..
[-- ຖາວອນ] --get-ipsets
ພິມ ipsets ທີ່ກໍານົດໄວ້ລ່ວງໜ້າເປັນລາຍການທີ່ແຍກອອກຈາກພື້ນທີ່.
[-- ຖາວອນ] --ipset=ipset --ຕື່ມເຂົ້າ=entry
ເພີ່ມລາຍການໃຫມ່ໃສ່ ipset.
[-- ຖາວອນ] --ipset=ipset --remove-ເຂົ້າ=entry
ເອົາລາຍການອອກຈາກ ipset.
[-- ຖາວອນ] --ipset=ipset --ສອບຖາມ-ເຂົ້າ=entry
ກັບຄືນວ່າມີການເພີ່ມເຂົ້າໃນ ipset ຫຼືບໍ່. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] --ipset=ipset -- get-entries
ບອກລາຍການທັງໝົດຂອງ ipset.
ການບໍລິການ ທາງເລືອກໃນການ
ທາງເລືອກໃນພາກນີ້ມີຜົນກະທົບພຽງແຕ່ຫນຶ່ງການບໍລິການສະເພາະ.
[-- ຖາວອນ] --info-service=ການບໍລິການ
ພິມຂໍ້ມູນກ່ຽວກັບການບໍລິການ ການບໍລິການ. ຮູບແບບຜົນຜະລິດແມ່ນ:
ການບໍລິການ
ທ່າເຮືອ: ພອດ1 ..
ພິທີການ: ພິທີການ1 ..
ໂມດູນ: ໂມດູນ1 ..
ຈຸດໝາຍປາຍທາງ: ipv1:ທີ່ຢູ່ 1 ..
ຕົວເລືອກຕໍ່ໄປນີ້ສາມາດໃຊ້ໄດ້ໃນການຕັ້ງຄ່າຖາວອນເທົ່ານັ້ນ.
-- ຖາວອນ -- ການບໍລິການໃຫມ່=ການບໍລິການ
ເພີ່ມການບໍລິການຖາວອນໃໝ່.
-- ຖາວອນ --delete-service=ການບໍລິການ
ລຶບການບໍລິການຖາວອນທີ່ມີຢູ່ແລ້ວ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --add-port=portid[-portid]/protocol
ເພີ່ມຜອດໃໝ່ໃສ່ບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --remove-port=portid[-portid]/protocol
ເອົາຜອດອອກຈາກບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --query-port=portid[-portid]/protocol
ກັບຄືນເມື່ອພອດໄດ້ຖືກເພີ່ມເຂົ້າໃນການບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --get-ports
ເພີ່ມລາຍການຜອດໃສ່ບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --add-protocol=protocol
ເພີ່ມໂປຣໂຕຄໍໃໝ່ໃສ່ບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --remove-protocol=protocol
ເອົາໂປຣໂຕຄໍອອກຈາກບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --query-protocol=protocol
ສົ່ງຄືນເມື່ອໂປຣໂຕຄໍຖືກເພີ່ມເຂົ້າໃນການບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --get-protocols
ເພີ່ມລາຍການໂປຣໂຕຄອນໃສ່ບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --add-module=ໂມດູນ
ເພີ່ມໂມດູນໃຫມ່ໃຫ້ກັບການບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --remove-module=ໂມດູນ
ເອົາໂມດູນອອກຈາກການບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --query-module=ໂມດູນ
ກັບຄືນຖ້າໂມດູນໄດ້ຖືກເພີ່ມເຂົ້າໃນການບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --get-modules
ເພີ່ມລາຍການໂມດູນໃສ່ການບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --add-destination=ipv:ທີ່ຢູ່[/ຫນ້າກາກ]
ກໍານົດປາຍທາງສໍາລັບ ipv ທີ່ຢູ່[/mask] ໃນການບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --remove-destination=ipv
ເອົາປາຍທາງສໍາລັບ ipv ອອກຈາກການບໍລິການຖາວອນ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ --query-destination=ipv:ທີ່ຢູ່[/ຫນ້າກາກ]
ກັບຄືນ ipv ປາຍທາງໄປຫາທີ່ຢູ່[/mask] ໄດ້ຖືກກໍານົດໄວ້ໃນແບບຖາວອນ
ການບໍລິການ.
-- ຖາວອນ --ການບໍລິການ=ການບໍລິການ -- get-destinations
ລາຍຊື່ປາຍທາງຖືກເພີ່ມເຂົ້າໃນການບໍລິການຖາວອນ.
ອິນເຕີເນັດ ການຄວບຄຸມ ຂໍ້ຄວາມ ອະນຸສັນຍາ (ICMP) ປະເພດ ທາງເລືອກໃນການ
ທາງເລືອກໃນພາກນີ້ມີຜົນກະທົບພຽງແຕ່ຫນຶ່ງ icmptype ໂດຍສະເພາະ.
[-- ຖາວອນ] --info-icmptype=icmptype
ພິມຂໍ້ມູນກ່ຽວກັບ icmptype icmptype. ຮູບແບບຜົນຜະລິດແມ່ນ:
icmptype
ຈຸດໝາຍປາຍທາງ: ipv1 ..
ຕົວເລືອກຕໍ່ໄປນີ້ສາມາດໃຊ້ໄດ້ໃນການຕັ້ງຄ່າຖາວອນເທົ່ານັ້ນ.
-- ຖາວອນ --new-icmptype=icmptype
ເພີ່ມ icmptype ຖາວອນໃຫມ່.
-- ຖາວອນ --delete-icmptype=icmptype
ລຶບ icmptype ຖາວອນທີ່ມີຢູ່ແລ້ວ.
-- ຖາວອນ --icmptype=icmptype --add-destination=ipv
ເປີດໃຊ້ປາຍທາງສໍາລັບ ipv ໃນ icmptype ຖາວອນ. ipv ແມ່ນຫນຶ່ງໃນ ipv4 or ipv6.
-- ຖາວອນ --icmptype=icmptype --remove-destination=ipv
ປິດໃຊ້ງານປາຍທາງສໍາລັບ ipv ໃນ icmptype ຖາວອນ. ipv ແມ່ນຫນຶ່ງໃນ ipv4 or ipv6.
-- ຖາວອນ --icmptype=icmptype --query-destination=ipv
ກັບຄືນວ່າປາຍທາງສໍາລັບ ipv ຖືກເປີດໃຊ້ໃນ icmptype ຖາວອນຫຼືບໍ່. ipv ແມ່ນຫນຶ່ງໃນ
ipv4 or ipv6.
-- ຖາວອນ --icmptype=icmptype -- get-destinations
ລາຍຊື່ປາຍທາງໃນ icmptype ຖາວອນ.
Direct ທາງເລືອກໃນການ
ທາງເລືອກໂດຍກົງໃຫ້ການເຂົ້າເຖິງ firewall ໂດຍກົງ. ທາງເລືອກເຫຼົ່ານີ້ຕ້ອງການຜູ້ໃຊ້
ຮູ້ຈັກແນວຄວາມຄິດ iptables ພື້ນຖານ, ie ຕາຕະລາງ (filter/mangle/nat/...), ລະບົບຕ່ອງໂສ້
(ປ້ອນ/ອອກ/ສົ່ງຕໍ່/...), ຄໍາສັ່ງ (-A/-D/-I/...), ພາລາມິເຕີ (-p/-s/-d/-j/...) ແລະ
ເປົ້າຫມາຍ (ຍອມຮັບ/ຫຼຸດ/ປະຕິເສດ/...).
ທາງເລືອກໂດຍກົງຄວນຈະຖືກນໍາໃຊ້ພຽງແຕ່ເປັນທາງເລືອກສຸດທ້າຍໃນເວລາທີ່ມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະນໍາໃຊ້ສໍາລັບ
ຍົກຕົວຢ່າງ -- ຕື່ມການບໍລິການ=ການບໍລິການ or --add-rich-ກົດລະບຽບ='ກົດລະບຽບ'.
ການໂຕ້ຖຽງທໍາອິດຂອງແຕ່ລະທາງເລືອກຕ້ອງມີ ipv4 or ipv6 or ebທີ່ຢູ່ ມີ ipv4 ມັນຈະເປັນສໍາລັບ
IPv4 (iptables(8)), ກັບ ipv6 ສໍາລັບ IPv6 (ip6 ຕາຕະລາງ(8)) ແລະດ້ວຍ eb ສໍາລັບຂົວອີເທີເນັດ
(ebtables(8)).
[-- ຖາວອນ] -- ໂດຍກົງ -- get-all-chains
ເອົາຕ່ອງໂສ້ທັງຫມົດເພີ່ມໃສ່ຕາຕະລາງທັງຫມົດ. ທາງເລືອກນີ້ກ່ຽວກັບພຽງແຕ່ຕ່ອງໂສ້ທີ່ເພີ່ມເຂົ້າໄປກ່ອນຫນ້ານີ້
ກັບ -- ໂດຍກົງ --ເພີ່ມຕ່ອງໂສ້.
[-- ຖາວອນ] -- ໂດຍກົງ --get-chains { ipv4 | ipv6 | eb } ຕາຕະລາງ
ເອົາຕ່ອງໂສ້ທັງຫມົດເພີ່ມໃສ່ຕາຕະລາງ ຕາຕະລາງ ເປັນລາຍການແຍກຊ່ອງ. ທາງເລືອກນີ້ເປັນຫ່ວງ
ສາຍຕ່ອງໂສ້ພຽງແຕ່ໄດ້ເພີ່ມກ່ອນຫນ້ານີ້ກັບ -- ໂດຍກົງ --ເພີ່ມຕ່ອງໂສ້.
[-- ຖາວອນ] -- ໂດຍກົງ --ເພີ່ມຕ່ອງໂສ້ { ipv4 | ipv6 | eb } ຕາຕະລາງ ລະບົບຕ່ອງໂສ້
ເພີ່ມລະບົບຕ່ອງໂສ້ໃຫມ່ທີ່ມີຊື່ ລະບົບຕ່ອງໂສ້ ໂຕະ ຕາຕະລາງ. ໃຫ້ແນ່ໃຈວ່າບໍ່ມີລະບົບຕ່ອງໂສ້ອື່ນໆທີ່ມີ
ຊື່ນີ້ແລ້ວ.
ມີລະບົບຕ່ອງໂສ້ພື້ນຖານທີ່ມີຢູ່ແລ້ວເພື່ອໃຊ້ກັບທາງເລືອກໂດຍກົງ, ສໍາລັບຕົວຢ່າງ INPUT_direct
ຕ່ອງໂສ້ (ເບິ່ງ iptables-save | grep ໂດຍກົງ ຜົນຜະລິດສໍາລັບພວກເຂົາທັງຫມົດ). ຕ່ອງໂສ້ເຫຼົ່ານີ້ແມ່ນ
jumped ເຂົ້າໄປໃນກ່ອນທີ່ຈະຕ່ອງໂສ້ສໍາລັບເຂດ, ie ກົດລະບຽບວາງເຂົ້າໄປໃນທຸກ INPUT_direct ຈະເປັນ
ກວດ ກາ ກ່ອນ ກົດ ລະ ບຽບ ໃນ ເຂດ .
[-- ຖາວອນ] -- ໂດຍກົງ --remove-chain { ipv4 | ipv6 | eb } ຕາຕະລາງ ລະບົບຕ່ອງໂສ້
ເອົາລະບົບຕ່ອງໂສ້ທີ່ມີຊື່ ລະບົບຕ່ອງໂສ້ ຈາກຕາຕະລາງ ຕາຕະລາງ. ລະບົບຕ່ອງໂສ້ພຽງແຕ່ໄດ້ເພີ່ມກ່ອນຫນ້ານີ້ກັບ
-- ໂດຍກົງ --ເພີ່ມຕ່ອງໂສ້ ສາມາດເອົາອອກໄດ້ດ້ວຍວິທີນີ້.
[-- ຖາວອນ] -- ໂດຍກົງ --ຖາມ-ຕ່ອງໂສ້ { ipv4 | ipv6 | eb } ຕາຕະລາງ ລະບົບຕ່ອງໂສ້
ກັບຄືນບໍ່ວ່າຈະເປັນລະບົບຕ່ອງໂສ້ທີ່ມີຊື່ ລະບົບຕ່ອງໂສ້ ມີຢູ່ໃນຕາຕະລາງ ຕາຕະລາງ. ຕອບ 0 ຖ້າຖືກ, 1
ຖ້າບໍ່ດັ່ງນັ້ນ. ທາງເລືອກນີ້ກ່ຽວກັບແຕ່ລະບົບຕ່ອງໂສ້ທີ່ເພີ່ມມາກ່ອນຫນ້ານີ້ -- ໂດຍກົງ
--ເພີ່ມຕ່ອງໂສ້.
[-- ຖາວອນ] -- ໂດຍກົງ -- get-all-ກົດລະບຽບ
ໄດ້ຮັບກົດລະບຽບທັງຫມົດເພີ່ມເຂົ້າໄປໃນຕ່ອງໂສ້ທັງຫມົດໃນຕາຕະລາງທັງຫມົດເປັນບັນຊີລາຍການແຍກອອກໃຫມ່ຂອງ
ບູລິມະສິດແລະການໂຕ້ຖຽງ. ທາງເລືອກນີ້ກ່ຽວກັບພຽງແຕ່ລະບຽບການທີ່ໄດ້ເພີ່ມເຂົ້າໄປໃນເມື່ອກ່ອນກັບ -- ໂດຍກົງ
--ກົດລະບຽບເພີ່ມ.
[-- ຖາວອນ] -- ໂດຍກົງ --ກົດລະບຽບ { ipv4 | ipv6 | eb } ຕາຕະລາງ ລະບົບຕ່ອງໂສ້
ເອົາກົດລະບຽບທັງຫມົດເພີ່ມໃສ່ລະບົບຕ່ອງໂສ້ ລະບົບຕ່ອງໂສ້ ໃນຕາຕະລາງ ຕາຕະລາງ ເປັນບັນຊີລາຍຊື່ທີ່ແຍກອອກໃຫມ່ຂອງ
ບູລິມະສິດແລະການໂຕ້ຖຽງ. ທາງເລືອກນີ້ກ່ຽວກັບພຽງແຕ່ລະບຽບການທີ່ໄດ້ເພີ່ມເຂົ້າໄປໃນເມື່ອກ່ອນກັບ -- ໂດຍກົງ
--ກົດລະບຽບເພີ່ມ.
[-- ຖາວອນ] -- ໂດຍກົງ --ກົດລະບຽບເພີ່ມ { ipv4 | ipv6 | eb } ຕາຕະລາງ ລະບົບຕ່ອງໂສ້ ບູລິມະສິດ ໂຕ້ຖຽງ
ເພີ່ມກົດລະບຽບດ້ວຍການໂຕ້ຖຽງ ໂຕ້ຖຽງ ກັບຕ່ອງໂສ້ ລະບົບຕ່ອງໂສ້ ໃນຕາຕະລາງ ຕາຕະລາງ ມີບູລິມະສິດ
ບູລິມະສິດ.
ໄດ້ ບູລິມະສິດ ຖືກນໍາໃຊ້ເພື່ອສັ່ງກົດລະບຽບ. ບູລິມະສິດ 0 ຫມາຍເຖິງການເພີ່ມກົດລະບຽບຢູ່ເທິງຕ່ອງໂສ້,
ໂດຍມີບູລິມະສິດສູງກວ່າກົດລະບຽບຈະຖືກເພີ່ມລົງຕື່ມອີກ. ກົດລະບຽບດຽວກັນ
ບູລິມະສິດຢູ່ໃນລະດັບດຽວກັນແລະຄໍາສັ່ງຂອງກົດລະບຽບເຫຼົ່ານີ້ບໍ່ໄດ້ຖືກແກ້ໄຂແລະອາດຈະ
ການປ່ຽນແປງ. ຖ້າທ່ານຕ້ອງການໃຫ້ແນ່ໃຈວ່າກົດລະບຽບຈະຖືກເພີ່ມຫຼັງຈາກອັນອື່ນ, ໃຫ້ໃຊ້ a
ບູລິມະສິດຕ່ຳສຳລັບອັນທຳອິດ ແລະສູງກວ່າສຳລັບຕໍ່ໄປນີ້.
[-- ຖາວອນ] -- ໂດຍກົງ --remove-ກົດລະບຽບ { ipv4 | ipv6 | eb } ຕາຕະລາງ ລະບົບຕ່ອງໂສ້ ບູລິມະສິດ ໂຕ້ຖຽງ
ເອົາກົດລະບຽບອອກດ້ວຍ ບູລິມະສິດ ແລະການໂຕ້ຖຽງ ໂຕ້ຖຽງ ຈາກລະບົບຕ່ອງໂສ້ ລະບົບຕ່ອງໂສ້ ໃນຕາຕະລາງ ຕາຕະລາງ.
ພຽງແຕ່ກົດລະບຽບທີ່ເພີ່ມເຂົ້າໄປໃນເມື່ອກ່ອນກັບ -- ໂດຍກົງ --ກົດລະບຽບເພີ່ມ ສາມາດເອົາອອກໄດ້ດ້ວຍວິທີນີ້.
[-- ຖາວອນ] -- ໂດຍກົງ --remove-ກົດລະບຽບ { ipv4 | ipv6 | eb } ຕາຕະລາງ ລະບົບຕ່ອງໂສ້
ເອົາກົດລະບຽບທັງຫມົດໃນລະບົບຕ່ອງໂສ້ທີ່ມີຊື່ ລະບົບຕ່ອງໂສ້ ມີຢູ່ໃນຕາຕະລາງ ຕາຕະລາງ. ຕົວເລືອກນີ້
ຄວາມກັງວົນພຽງແຕ່ກົດລະບຽບທີ່ໄດ້ເພີ່ມໃນເມື່ອກ່ອນກັບ -- ໂດຍກົງ --ກົດລະບຽບເພີ່ມ ໃນລະບົບຕ່ອງໂສ້ນີ້.
[-- ຖາວອນ] -- ໂດຍກົງ --query-ກົດລະບຽບ { ipv4 | ipv6 | eb } ຕາຕະລາງ ລະບົບຕ່ອງໂສ້ ບູລິມະສິດ ໂຕ້ຖຽງ
ກັບຄືນບໍ່ວ່າຈະເປັນກົດລະບຽບທີ່ມີ ບູລິມະສິດ ແລະການໂຕ້ຖຽງ ໂຕ້ຖຽງ ມີຢູ່ໃນລະບົບຕ່ອງໂສ້ ລະບົບຕ່ອງໂສ້ in
ຕາຕະລາງ ຕາຕະລາງ. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ. ທາງເລືອກນີ້ກ່ຽວຂ້ອງກັບກົດລະບຽບເທົ່ານັ້ນ
ເພີ່ມຂຶ້ນໃນເມື່ອກ່ອນກັບ -- ໂດຍກົງ --ກົດລະບຽບເພີ່ມ.
-- ໂດຍກົງ --ຜ່ານ { ipv4 | ipv6 | eb } ໂຕ້ຖຽງ
ສົ່ງຄໍາສັ່ງຜ່ານໄຟວໍ. ໂຕ້ຖຽງ ສາມາດເປັນທັງຫມົດ iptables, ip6 ຕາຕະລາງ ແລະ
ebtables ການໂຕ້ຖຽງແຖວຄໍາສັ່ງ. ຄໍາສັ່ງນີ້ແມ່ນ untracked, ຊຶ່ງຫມາຍຄວາມວ່າ firewalld
ບໍ່ສາມາດໃຫ້ຂໍ້ມູນກ່ຽວກັບຄໍາສັ່ງນີ້ໃນພາຍຫລັງ, ບໍ່ແມ່ນບັນຊີລາຍຊື່ຂອງ
passthoughs untracked ໄດ້.
[-- ຖາວອນ] -- ໂດຍກົງ -- get-all-passthroughs
ເອົາກົດລະບຽບ passthrough ທັງຫມົດເປັນບັນຊີລາຍຊື່ທີ່ແຍກອອກໃຫມ່ຂອງຄ່າ ipv ແລະການໂຕ້ຖຽງ.
[-- ຖາວອນ] -- ໂດຍກົງ --get-passthroughs { ipv4 | ipv6 | eb }
ໄດ້ຮັບກົດລະບຽບ passthrough ທັງຫມົດສໍາລັບຄ່າ ipv ເປັນບັນຊີລາຍຊື່ທີ່ແຍກອອກໃຫມ່ຂອງ
ບູລິມະສິດແລະການໂຕ້ຖຽງ.
[-- ຖາວອນ] -- ໂດຍກົງ --ຕື່ມ passthrough { ipv4 | ipv6 | eb } ໂຕ້ຖຽງ
ເພີ່ມກົດລະບຽບ passthrough ກັບ arguments ໂຕ້ຖຽງ ສໍາລັບຄ່າ ipv.
[-- ຖາວອນ] -- ໂດຍກົງ --remove-passthrough { ipv4 | ipv6 | eb } ໂຕ້ຖຽງ
ເອົາກົດລະບຽບ passthrough ດ້ວຍການໂຕ້ຖຽງ ໂຕ້ຖຽງ ສໍາລັບຄ່າ ipv.
[-- ຖາວອນ] -- ໂດຍກົງ --query-passthrough { ipv4 | ipv6 | eb } ໂຕ້ຖຽງ
ກັບຄືນບໍ່ວ່າຈະເປັນກົດລະບຽບ passthrough ກັບ arguments ໂຕ້ຖຽງ ມີຢູ່ສໍາລັບຄ່າ ipv.
ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
ລັອກລົງ ທາງເລືອກໃນການ
ແອັບພລິເຄຊັນ ຫຼືບໍລິການທ້ອງຖິ່ນສາມາດປ່ຽນການຕັ້ງຄ່າ Firewall ໄດ້ຖ້າພວກມັນຢູ່
ແລ່ນເປັນຮາກ (ຕົວຢ່າງ: libvirt) ຫຼືຖືກຮັບຮອງໂດຍໃຊ້ PolicyKit. ດ້ວຍຄຸນສົມບັດນີ້
ຜູ້ເບິ່ງແຍງລະບົບສາມາດລັອກການຕັ້ງຄ່າໄຟວໍເພື່ອໃຫ້ມີພຽງແອັບພລິເຄຊັນທີ່ປິດລົງ
ບັນຊີຂາວສາມາດຮ້ອງຂໍການປ່ຽນແປງ Firewall ໄດ້.
ການກວດສອບການເຂົ້າເຖິງການປິດລ້ອມຈໍາກັດວິທີການ D-Bus ທີ່ກໍາລັງປ່ຽນແປງກົດລະບຽບຂອງໄຟວໍ. ສອບຖາມ,
ບັນຊີລາຍຊື່ແລະວິທີການໄດ້ຮັບແມ່ນບໍ່ຈໍາກັດ.
ຄຸນນະສົມບັດ lockdown ເປັນສະບັບເບົາຫຼາຍຂອງນະໂຍບາຍຜູ້ໃຊ້ແລະຄໍາຮ້ອງສະຫມັກສໍາລັບ
firewalld ແລະຖືກປິດໂດຍຄ່າເລີ່ມຕົ້ນ.
--ການປິດລ້ອມ
ເປີດໃຊ້ການລັອກ. ຈົ່ງລະວັງ - ຖ້າ firewall-cmd ບໍ່ຢູ່ໃນບັນຊີຂາວ lockdown ໃນເວລາທີ່ທ່ານ
ເປີດໃຊ້ການລັອກທ່ານຈະບໍ່ສາມາດປິດການໃຊ້ງານມັນໄດ້ອີກດ້ວຍ firewall-cmd, ເຈົ້າຈະ
ຕ້ອງການແກ້ໄຂ firewalld.conf.
ນີ້ແມ່ນເວລາແລ່ນ ແລະການປ່ຽນແປງຖາວອນ.
--ປິດ-ປິດ
ປິດການລັອກ.
ນີ້ແມ່ນເວລາແລ່ນ ແລະການປ່ຽນແປງຖາວອນ.
--query-lockdown
ສອບຖາມວ່າມີການປິດການນຳໃຊ້ຫຼືບໍ່. ສົ່ງຄືນ 0 ຖ້າປິດໃຊ້ງານ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
ລັອກລົງ Whitelist ທາງເລືອກໃນການ
ບັນຊີຂາວ lockdown ສາມາດບັນຈຸ ຄໍາສັ່ງ, ສະພາບການ, ຜູ້ຊົມໃຊ້ ແລະ ຜູ້ໃຊ້ ids.
ຖ້າການປ້ອນຄໍາສັ່ງຢູ່ໃນບັນຊີຂາວສິ້ນສຸດດ້ວຍເຄື່ອງໝາຍດາວ '*', ເສັ້ນຄຳສັ່ງທັງໝົດ
ເລີ່ມຕົ້ນດ້ວຍຄໍາສັ່ງຈະກົງກັນ. ຖ້າ '*' ບໍ່ຢູ່ທີ່ນັ້ນ, ຄໍາສັ່ງຢ່າງແທ້ຈິງ
arguments ຮວມຕ້ອງກົງກັນ.
ຄໍາສັ່ງສໍາລັບຮາກຂອງຜູ້ໃຊ້ແລະອື່ນໆແມ່ນບໍ່ຄືກັນ. ຕົວຢ່າງ: ເປັນຮາກ
/bin/firewall-cmd ຖືກນໍາໃຊ້, ເປັນຜູ້ໃຊ້ປົກກະຕິ /usr/bin/firewall-cmd ຖືກນໍາໃຊ້ໃນ Fedora.
ບໍລິບົດແມ່ນຄວາມປອດໄພ (SELinux) ບໍລິບົດຂອງແອັບພລິເຄຊັນ ຫຼືບໍລິການທີ່ເຮັດວຽກຢູ່. ໄດ້ຮັບ
ສະພາບການຂອງແອັບພລິເຄຊັນທີ່ໃຊ້ວຽກ ps -e --ສະພາບການ.
ຄໍາເຕືອນ: ຖ້າສະພາບການບໍ່ຖືກຈຳກັດ, ນີ້ຈະເປີດການເຂົ້າເຖິງຫຼາຍກວ່າ
ຄໍາຮ້ອງສະຫມັກທີ່ຕ້ອງການ.
ການເຂົ້າບັນຊີຂາວ lockdown ຖືກກວດສອບຕາມລຳດັບຕໍ່ໄປນີ້:
1. context
2. uid
3. ຜູ້ໃຊ້
4. ຄໍາສັ່ງ
[-- ຖາວອນ] --list-lockdown-whitelist-commands
ລາຍຊື່ເສັ້ນຄໍາສັ່ງທັງໝົດທີ່ຢູ່ໃນບັນຊີຂາວ.
[-- ຖາວອນ] --add-lockdown-whitelist-command=ຄໍາສັ່ງ
ຕື່ມການ ຄໍາສັ່ງ ເຂົ້າບັນຊີຂາວ.
[-- ຖາວອນ] --remove-lockdown-whitelist-command=ຄໍາສັ່ງ
ດຶງອອກຈາກ ຄໍາສັ່ງ ຈາກບັນຊີຂາວ.
[-- ຖາວອນ] --query-lockdown-whitelist-command=ຄໍາສັ່ງ
ສອບຖາມໄດ້ບໍ່ວ່າ ຄໍາສັ່ງ ຢູ່ໃນບັນຊີຂາວ. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] --list-lockdown-whitelist-contexts
ລາຍຊື່ບໍລິບົດທັງໝົດທີ່ຢູ່ໃນບັນຊີຂາວ.
[-- ຖາວອນ] --add-lockdown-whitelist-context=context
ເພີ່ມບໍລິບົດ context ເຂົ້າບັນຊີຂາວ.
[-- ຖາວອນ] --remove-lockdown-whitelist-context=context
ດຶງອອກຈາກ context ຈາກບັນຊີຂາວ.
[-- ຖາວອນ] --query-lockdown-whitelist-context=context
ສອບຖາມໄດ້ບໍ່ວ່າ context ຢູ່ໃນບັນຊີຂາວ. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] --list-lockdown-whitelist-uids
ບອກ ID ຜູ້ໃຊ້ທັງໝົດທີ່ຢູ່ໃນບັນຊີຂາວ.
[-- ຖາວອນ] --add-lockdown-whitelist-uid=uid
ເພີ່ມ ID ຜູ້ໃຊ້ uid ເຂົ້າບັນຊີຂາວ.
[-- ຖາວອນ] --remove-lockdown-whitelist-uid=uid
ເອົາ ID ຜູ້ໃຊ້ອອກ uid ຈາກບັນຊີຂາວ.
[-- ຖາວອນ] --query-lockdown-whitelist-uid=uid
ສອບຖາມບໍ່ວ່າຈະເປັນ id ຜູ້ໃຊ້ uid ຢູ່ໃນບັນຊີຂາວ. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
[-- ຖາວອນ] --list-lockdown-whitelist-users
ບອກຊື່ຜູ້ໃຊ້ທັງໝົດທີ່ຢູ່ໃນບັນຊີຂາວ.
[-- ຖາວອນ] --add-lockdown-whitelist-ຜູ້ໃຊ້=ຜູ້ໃຊ້
ເພີ່ມຊື່ຜູ້ໃຊ້ ຜູ້ໃຊ້ ເຂົ້າບັນຊີຂາວ.
[-- ຖາວອນ] --remove-lockdown-whitelist-user=ຜູ້ໃຊ້
ເອົາຊື່ຜູ້ໃຊ້ອອກ ຜູ້ໃຊ້ ຈາກບັນຊີຂາວ.
[-- ຖາວອນ] --query-lockdown-whitelist-ຜູ້ໃຊ້=ຜູ້ໃຊ້
ສອບຖາມບໍ່ວ່າຈະເປັນຊື່ຜູ້ໃຊ້ ຜູ້ໃຊ້ ຢູ່ໃນບັນຊີຂາວ. ຕອບ 0 ຖ້າເປັນຈິງ, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
Panic ທາງເລືອກໃນການ
--ຕົກໃຈ
ເປີດໃຊ້ຮູບແບບ panic. ທຸກແພັກເກັດຂາເຂົ້າແລະຂາອອກແມ່ນຫຼຸດລົງ, ການເຊື່ອມຕໍ່ທີ່ຫ້າວຫັນ
ຈະໝົດອາຍຸ. ເປີດໃຊ້ອັນນີ້ພຽງແຕ່ຖ້າມີບັນຫາຮ້າຍແຮງກັບເຄືອຂ່າຍຂອງເຈົ້າ
ສະພາບແວດລ້ອມ. ຕົວຢ່າງ: ຖ້າເຄື່ອງຖືກແຮັກເຂົ້າ.
ນີ້ແມ່ນການປ່ຽນເວລາແລ່ນເທົ່ານັ້ນ.
-- panic-off
ປິດໃຊ້ງານໂໝດ panic. ຫຼັງຈາກປິດການທໍາງານຮູບແບບ panic ການເຊື່ອມຕໍ່ທີ່ສ້າງຕັ້ງຂຶ້ນອາດຈະເຮັດວຽກ
ອີກເທື່ອ ໜຶ່ງ, ຖ້າຮູບແບບ panic ຖືກເປີດໃຊ້ເປັນໄລຍະເວລາສັ້ນໆ.
ນີ້ແມ່ນການປ່ຽນເວລາແລ່ນເທົ່ານັ້ນ.
--query-panic
ສົ່ງຄືນ 0 ຖ້າໂໝດ panic ຖືກເປີດໃຊ້, 1 ຖ້າບໍ່ດັ່ງນັ້ນ.
ຕົວຢ່າງ
ສໍາລັບຕົວຢ່າງເພີ່ມເຕີມເບິ່ງ http://fedoraproject.org/wiki/FirewallD
ຍົກຕົວຢ່າງ 1
ເປີດໃຊ້ບໍລິການ http ໃນເຂດເລີ່ມຕົ້ນ. ນີ້ແມ່ນ runtime ພຽງແຕ່ມີການປ່ຽນແປງ, ie ປະສິດທິຜົນຈົນກ່ວາ
ເລີ່ມຕົ້ນໃຫມ່.
firewall-cmd --add-service=http
ຍົກຕົວຢ່າງ 2
ເປີດໃຊ້ພອດ 443/tcp ທັນທີ ແລະຖາວອນຢູ່ໃນເຂດເລີ່ມຕົ້ນ. ເພື່ອເຮັດໃຫ້ການປ່ຽນແປງ
ມີປະສິດທິພາບທັນທີແລະຫຼັງຈາກ restart ພວກເຮົາຕ້ອງການສອງຄໍາສັ່ງ. ຄໍາສັ່ງທໍາອິດເຮັດໃຫ້
ການປ່ຽນແປງໃນການຕັ້ງຄ່າ runtime, ie ເຮັດໃຫ້ມັນມີປະສິດທິພາບທັນທີ, ຈົນກ່ວາ restart.
ຄໍາສັ່ງທີສອງເຮັດໃຫ້ການປ່ຽນແປງໃນການຕັ້ງຄ່າຖາວອນ, ie ເຮັດໃຫ້ມັນມີປະສິດທິພາບ
ຫຼັງຈາກ restart.
firewall-cmd --add-port=443/tcp
firewall-cmd -permanent --add-port = 443 / tcp
ອອກ ລະຫັດ
ກ່ຽວກັບຄວາມສໍາເລັດ 0 ແມ່ນກັບຄືນມາ. ເມື່ອຄວາມລົ້ມເຫລວ, ຜົນຜະລິດແມ່ນສີແດງແລະລະຫັດອອກແມ່ນ 2
ໃນກໍລະນີຂອງການໃຊ້ທາງເລືອກເສັ້ນຄໍາສັ່ງທີ່ບໍ່ຖືກຕ້ອງຫຼືຫນຶ່ງຂອງລະຫັດຄວາມຜິດພາດຕໍ່ໄປນີ້ໃນອື່ນໆ
ກໍລະນີ:
┌──────────────────────┬──────┐
│string │ ລະຫັດ │
├───────────────────────┼───────┤
│ALREADY_ENABLED │ 11 │
├───────────────────────┼───────┤
│NOT_ENABLED │ 12 │
├───────────────────────┼───────┤
│COMMAND_FAILED │ 13 │
├───────────────────────┼───────┤
│NO_IPV6_NAT │ 14 │
├───────────────────────┼───────┤
│PANIC_MODE │ 15 │
├───────────────────────┼───────┤
│ZONE_ALREADY_SET │ 16 │
├───────────────────────┼───────┤
│UNKNOWN_INTERFACE │ 17 │
├───────────────────────┼───────┤
│ZONE_CONFLICT │ 18 │
├───────────────────────┼───────┤
│BUILTIN_CHAIN │ 19 │
├───────────────────────┼───────┤
│EBTABLES_NO_REJECT │ 20 │
├───────────────────────┼───────┤
│NOT_OVERLOADABLE │ 21 │
├───────────────────────┼───────┤
│NO_DEFAULTS │ 22 │
├───────────────────────┼───────┤
│BUILTIN_ZONE │ 23 │
├───────────────────────┼───────┤
│BUILTIN_SERVICE │ 24 │
├───────────────────────┼───────┤
│BUILTIN_ICMPTYPE │ 25 │
├───────────────────────┼───────┤
│NAME_CONFLICT │ 26 │
├───────────────────────┼───────┤
│NAME_MISMATCH │ 27 │
├───────────────────────┼───────┤
│PARSE_ERROR │ 28 │
├───────────────────────┼───────┤
│ACCESS_DENIED │ 29 │
├───────────────────────┼───────┤
│UNKNOWN_SOURCE │ 30 │
├───────────────────────┼───────┤
│RT_TO_PERM_FAILED │ 31 │
├───────────────────────┼───────┤
│IPSET_WITH_TIMEOUT │ 32 │
├───────────────────────┼───────┤
│BUILTIN_IPSET │ 33 │
├───────────────────────┼───────┤
│ALREADY_SET │ 34 │
├───────────────────────┼───────┤
│INVALID_ACTION │ 100 │
├───────────────────────┼───────┤
│INVALID_SERVICE │ 101 │
├───────────────────────┼───────┤
│INVALID_PORT │ 102 │
├───────────────────────┼───────┤
│INVALID_PROTOCOL │ 103 │
├───────────────────────┼───────┤
│INVALID_INTERFACE │ 104 │
├───────────────────────┼───────┤
│INVALID_ADDR │ 105 │
├───────────────────────┼───────┤
│INVALID_FORWARD │ 106 │
├───────────────────────┼───────┤
│INVALID_ICMPTYPE │ 107 │
├───────────────────────┼───────┤
│INVALID_TABLE │ 108 │
├───────────────────────┼───────┤
│INVALID_CHAIN │ 109 │
├───────────────────────┼───────┤
│INVALID_TARGET │ 110 │
├───────────────────────┼───────┤
│INVALID_IPV │ 111 │
├───────────────────────┼───────┤
│INVALID_ZONE │ 112 │
├───────────────────────┼───────┤
│INVALID_PROPERTY │ 113 │
├───────────────────────┼───────┤
│INVALID_VALUE │ 114 │
├───────────────────────┼───────┤
│INVALID_OBJECT │ 115 │
├───────────────────────┼───────┤
│INVALID_NAME │ 116 │
├───────────────────────┼───────┤
│INVALID_FILENAME │ 117 │
├───────────────────────┼───────┤
│INVALID_DIRECTORY │ 118 │
├───────────────────────┼───────┤
│INVALID_TYPE │ 119 │
├───────────────────────┼───────┤
│INVALID_SETTING │ 120 │
├───────────────────────┼───────┤
│INVALID_DESTINATION │ 121 │
├───────────────────────┼───────┤
│INVALID_RULE │ 122 │
├───────────────────────┼───────┤
│INVALID_LIMIT │ 123 │
├───────────────────────┼───────┤
│INVALID_FAMILY │ 124 │
├───────────────────────┼───────┤
│INVALID_LOG_LEVEL │ 125 │
├───────────────────────┼───────┤
│INVALID_AUDIT_TYPE │ 126 │
├───────────────────────┼───────┤
│INVALID_MARK │ 127 │
├───────────────────────┼───────┤
│INVALID_CONTEXT │ 128 │
├───────────────────────┼───────┤
│INVALID_COMMAND │ 129 │
├───────────────────────┼───────┤
│INVALID_USER │ 130 │
├───────────────────────┼───────┤
│INVALID_UID │ 131 │
├───────────────────────┼───────┤
│INVALID_MODULE │ 132 │
├───────────────────────┼───────┤
│INVALID_PASSTHROUGH │ 133 │
├───────────────────────┼───────┤
│INVALID_MAC │ 134 │
├───────────────────────┼───────┤
│INVALID_IPSET │ 135 │
├───────────────────────┼───────┤
│INVALID_ENTRY │ 136 │
├───────────────────────┼───────┤
│INVALID_OPTION │ 137 │
├───────────────────────┼───────┤
│MISSING_TABLE │ 200 │
├───────────────────────┼───────┤
│MISSING_CHAIN │ 201 │
├───────────────────────┼───────┤
│MISSING_PORT │ 202 │
├───────────────────────┼───────┤
│MISSING_PROTOCOL │ 203 │
├───────────────────────┼───────┤
│MISSING_ADDR │ 204 │
├───────────────────────┼───────┤
│MISSING_NAME │ 205 │
├───────────────────────┼───────┤
│MISSING_SETTING │ 206 │
├───────────────────────┼───────┤
│MISSING_FAMILY │ 207 │
├───────────────────────┼───────┤
│NOT_RUNNING │ 252 │
├───────────────────────┼───────┤
│NOT_AUTHORIZED │ 253 │
├───────────────────────┼───────┤
│UNKNOWN_ERROR │ 254 │
└──────────────────────┴──────┘
ໃຊ້ firewall-cmd ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net
