To jest polecenie firewall-cmd, które można uruchomić w darmowym dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
firewall-cmd - klient linii poleceń firewalld
STRESZCZENIE
firewall-cmd [OPCJE...]
OPIS
firewall-cmd to klient wiersza poleceń demona firewalld. Zapewnia interfejs do
zarządzać czasem pracy i stałą konfiguracją.
Konfiguracja środowiska wykonawczego w firewalld jest oddzielona od konfiguracji stałej. Ten
oznacza, że rzeczy mogą ulec zmianie w środowisku wykonawczym lub stałej konfiguracji.
OPCJE
Obsługiwane są następujące opcje:
Ogólne Opcje
-h, --help
Drukuje krótki tekst pomocy i kończy działanie.
-V, --wersja
Wydrukuj ciąg wersji firewalld. Tej opcji nie można łączyć z innymi
opcje.
-q, --cichy
Nie drukuj komunikatów o stanie.
Status Opcje
--stan
Sprawdź, czy demon firewalld jest aktywny (tj. uruchomiony). Zwraca kod wyjścia 0, jeśli
jest aktywny, NIE_URUCHOM w przeciwnym razie (patrz rozdział „KODY WYJŚCIA”). to będzie
również wydrukuj stan do STDOUT.
--przeładować
Przeładuj reguły zapory i zachowaj informacje o stanie. Bieżąca stała konfiguracja będzie
stają się nową konfiguracją środowiska uruchomieniowego, tj. wszystkie zmiany środowiska wykonawczego dokonane tylko do czasu przeładowania
utracone przy przeładowaniu, jeśli nie były również w stałej konfiguracji.
--kompletne przeładowanie
Całkowicie przeładuj zaporę ogniową, nawet moduły jądra netfilter. To najprawdopodobniej będzie
zakończyć aktywne połączenia, ponieważ informacje o stanie zostaną utracone. Ta opcja powinna
być używany tylko w przypadku poważnych problemów z firewallem. Na przykład, jeśli istnieją stany
problemy z informacjami, że nie można nawiązać połączenia z prawidłową zaporą ogniową
zasady.
--runtime do trwałego
Zapisz aktywną konfigurację środowiska uruchomieniowego i zastąp nią stałą konfigurację. The
sposób, w jaki ma to działać, polega na tym, że podczas konfigurowania zapory ogniowej dokonujesz zmian w czasie wykonywania
tylko i kiedy jesteś zadowolony z konfiguracji i przetestowałeś, że działa w ten sposób
chcesz, zapisujesz konfigurację na dysku.
--get-log-odmowa
Wydrukuj ustawienie odmowy dziennika.
--set-log-odmowa=wartość
Dodaj reguły rejestrowania tuż przed odrzucaniem i odrzucaniem reguł w INPUT, FORWARD i OUTPUT
łańcuchy dla reguł domyślnych, a także ostateczne reguły odrzucania i upuszczania w strefach dla
skonfigurowany typ pakietu warstwy łącza. Możliwe wartości to: cała kolekcja, unicast, nadawanie,
multicast oraz poza. Ustawienie domyślne to poza, co wyłącza rejestrowanie.
Jest to zmiana działająca w czasie wykonywania i trwała, a także przeładuje zaporę ogniową, aby móc to zrobić
dodaj reguły logowania.
Stały Opcje
--stały
Stała opcja --stały można użyć do ustawienia opcji na stałe. Te zmiany
nie działają od razu, dopiero po restarcie/przeładowaniu usługi lub restarcie systemu.
Bez --stały opcja, zmiana będzie dotyczyła tylko części środowiska wykonawczego
konfiguracja.
Jeśli chcesz dokonać zmiany w czasie wykonywania i stałej konfiguracji, użyj tego samego wywołania
zi bez --stały opcja.
--stały opcję można opcjonalnie dodać do wszystkich opcji poniżej, gdzie się znajduje
utrzymany.
Strefa Opcje
--get-default-zone
Drukuj domyślną strefę dla połączeń i interfejsów.
--set-default-zone=strefa
Ustaw strefę domyślną dla połączeń i interfejsów, dla których nie wybrano żadnej strefy.
Ustawienie strefy domyślnej zmienia strefę dla połączeń lub interfejsów, tj
używając strefy domyślnej.
Jest to zmiana czasowa i trwała.
--get-active-strefy
Wydrukuj aktualnie aktywne strefy wraz z zastosowanymi w nich interfejsami i źródłami
strefy. Strefy aktywne to strefy, które mają powiązanie z interfejsem lub źródłem. The
format wyjściowy to:
zone1
interfejsy: interfejs1 interfejs2 ..
źródła: źródło1 ..
zone2
interfejsy: interfejs3 ..
zone3
źródła: źródło2 ..
Jeśli nie ma żadnych interfejsów ani źródeł powiązanych ze strefą, odpowiednia linia będzie
być pominięte.
[--stały] --get-strefy
Drukuj predefiniowane strefy jako listę oddzieloną spacjami.
[--stały] --get-services
Drukuj predefiniowane usługi jako listę oddzieloną spacjami.
[--stały] --get-icmptypes
Wydrukuj predefiniowane typy icmp jako listę oddzieloną spacjami.
[--stały] --get-strefa-interfejsu=Interfejs
Wydrukuj nazwę strefy Interfejs jest związany z lub Nie strefa.
[--stały] --get-strefa-źródła=źródło[/maska]
Wydrukuj nazwę strefy źródło[/maska] jest związany z lub Nie strefa.
[--stały] --strefa-informacyjna=strefa
Wydrukuj informacje o strefie strefa. Format wyjściowy to:
strefa
interfejsy: interfejs1 ..
źródła: źródło1 ..
usługi: service1 ..
porty: port1 ..
protokoły: protokół1 ..
forward-ports:
port-do przodu1
..
icmp-blocks: typ-icmp1 ..
bogate zasady:
bogata reguła1
..
[--stały] --list-all-strefy
Wyświetl listę wszystkich dodanych lub włączonych we wszystkich strefach. Format wyjściowy to:
zone1
interfejsy: interfejs1 ..
źródła: źródło1 ..
usługi: service1 ..
porty: port1 ..
protokoły: protokół1 ..
forward-ports:
port-do przodu1
..
icmp-blocks: typ-icmp1 ..
bogate zasady:
bogata reguła1
..
..
--stały --nowa-strefa=strefa
Dodaj nową stałą strefę.
--stały --delete-strefa=strefa
Usuń istniejącą stałą strefę.
--stały [--strefa=strefa] --get-cel
Zdobądź cel w stałej strefie.
--stały [--strefa=strefa] --ustal cel=cel
Ustaw cel stałej strefy. cel jest jednym z: domyślnym, AKCEPTUJĘ, DROP, ODRZUCAĆ
Opcje do Przystosować się oraz Pytanie strefy
Opcje w tej sekcji mają wpływ tylko na jedną konkretną strefę. Jeśli używany z --strefa=strefa opcja,
wpływają na strefę strefa. Pominięcie opcji wpływa na strefę domyślną (zob
--get-default-zone).
[--stały] [--strefa=strefa] --lista-wszystkich
Wyświetl listę wszystkich dodanych lub włączonych w strefa. Jeśli strefa zostanie pominięta, zostanie wybrana strefa domyślna
używany.
[--stały] [--strefa=strefa] --lista-usług
Lista usług dodanych dla strefa jako lista oddzielona spacjami. Jeśli strefa jest pominięta, domyślnie
strefa będzie używana.
[--stały] [--strefa=strefa] --dodaj usługę=usługa [--koniec czasu=czas]
Dodaj usługę dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ta opcja może
być określony wielokrotnie. Jeśli podany zostanie limit czasu, reguła będzie aktywna dla
przez określony czas i po tym czasie zostaną automatycznie usunięte. czas is
albo liczba (sekund) albo liczba, po której następuje jeden ze znaków s (sekundy), m
(minuty), h (godziny), np 20m or 1h.
Usługa jest jedną z usług świadczonych przez firewalld. Aby uzyskać listę obsługiwanych
usługi, korzystanie firewall-cmd --get-services.
--koniec czasu Opcja nie łączy się z --stały opcja.
[--stały] [--strefa=strefa] --usuń-usługę=usługa
Usuń usługę z strefa. Tę opcję można określić wielokrotnie. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna.
[--stały] [--strefa=strefa] --usługa-zapytania=usługa
Zwróć czy usługa został dodany dla strefa. Jeśli strefa zostanie pominięta, zostanie pominięta strefa domyślna
być użytym. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--stały] [--strefa=strefa] --list-porty
Lista portów dodanych dla strefa jako lista oddzielona spacjami. Port ma postać
portier[-portier]/protokół, może to być para portów i protokołów lub zakres portów
z protokołem. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
[--stały] [--strefa=strefa] --dodaj-port=portier[-portier]/protokół [--koniec czasu=czas]
Dodaj port dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ta opcja może
być określony wielokrotnie. Jeśli podany zostanie limit czasu, reguła będzie aktywna dla
przez określony czas i po tym czasie zostaną automatycznie usunięte. czas is
albo liczba (sekund) albo liczba, po której następuje jeden ze znaków s (sekundy), m
(minuty), h (godziny), np 20m or 1h.
Port może być pojedynczym numerem portu lub zakresem portów portier-portier,
protokół może być tcp or udp.
--koniec czasu Opcja nie łączy się z --stały opcja.
[--stały] [--strefa=strefa] --remove-portu=portier[-portier]/protokół
Usuń port z strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ta opcja
można określić wielokrotnie.
[--stały] [--strefa=strefa] --Query-port=portier[-portier]/protokół
Zwróć, czy port został dodany strefa. Jeśli strefa zostanie pominięta, zostanie pominięta strefa domyślna
być użytym. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--stały] [--strefa=strefa] --list-protokoły
Lista protokołów dodanych dla strefa jako lista oddzielona spacjami. Jeśli strefa jest pominięta, domyślnie
strefa będzie używana.
[--stały] [--strefa=strefa] --add-protokół=protokół [--koniec czasu=czas]
Dodaj protokół dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ta opcja
można określić wielokrotnie. Jeśli podano limit czasu, reguła będzie aktywna przez
przez określony czas, a następnie zostaną automatycznie usunięte. czas is
albo liczba (sekund) albo liczba, po której następuje jeden ze znaków s (sekundy), m
(minuty), h (godziny), np 20m or 1h.
Protokołem może być dowolny protokół obsługiwany przez system. Proszę spojrzeć na
/ etc / protocols dla obsługiwanych protokołów.
--koniec czasu Opcja nie łączy się z --stały opcja.
[--stały] [--strefa=strefa] --usuń-protokół=protokół
Usuń protokół z strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ten
opcję można podać wielokrotnie.
[--stały] [--strefa=strefa] --protokół zapytania=protokół
Zwróć, czy protokół został dodany dla strefa. Jeśli strefa jest pominięta, strefa domyślna
będzie użyty. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--stały] [--strefa=strefa] --lista-icmp-bloki
Lista dodanych bloków typu Internet Control Message Protocol (ICMP). strefa jako przestrzeń
oddzielna lista. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
[--stały] [--strefa=strefa] --add-icmp-blok=typ_icmp [--koniec czasu=czas]
Dodaj blok ICMP dla typ_icmp dla strefa. Jeśli strefa zostanie pominięta, zostanie wybrana strefa domyślna
używany. Tę opcję można określić wielokrotnie. Jeśli podano limit czasu, reguła
będzie aktywny przez określony czas i zostanie automatycznie usunięty
potem. czas jest liczbą (sekund) lub liczbą, po której następuje jedna z nich
znaków s (sekundy), m (minuty), h (godziny), np 20m or 1h.
typ_icmp jest jednym z typów icmp obsługiwanych przez firewalld. Aby uzyskać listę
obsługiwane typy icmp: firewall-cmd --get-icmptypes
--koniec czasu Opcja nie łączy się z --stały opcja.
[--stały] [--strefa=strefa] --usuń blok-icmp=typ_icmp
Usuń blok ICMP dla typ_icmp od strefa. Jeśli strefa zostanie pominięta, zostanie wybrana strefa domyślna
używany. Tę opcję można określić wielokrotnie.
[--stały] [--strefa=strefa] --query-icmp-block=typ_icmp
Zwróć, czy blok ICMP dla typ_icmp został dodany dla strefa. W przypadku pominięcia strefy
używana będzie strefa domyślna. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--stały] [--strefa=strefa] --lista-portów-przekazowych
Lista IPv4 porty przekierowania dodane dla strefa jako lista oddzielona spacjami. W przypadku pominięcia strefy
używana będzie strefa domyślna.
Dla litu szacuje się IPv6 porty do przodu, użyj bogatego języka.
[--stały] [--strefa=strefa]
--dodaj-port-forward= port =portier[-portier]:proto=protokół[:port=portier[-portier]][:ropucha=adres[/maska]]
[--koniec czasu=czas]
Dodaj IPv4 port przekierowania dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Tę opcję można określić wielokrotnie. Jeśli podany zostanie limit czasu, reguła będzie działać
będą aktywne przez określony czas i zostaną automatycznie usunięte
potem. czas jest liczbą (sekund) lub liczbą, po której następuje jedna z nich
znaków s (sekundy), m (minuty), h (godziny), np 20m or 1h.
Port może być pojedynczym numerem portu portier lub zakres portów portier-portier,
protokół może być tcp or udp. Adres docelowy to prosty adres IP.
--koniec czasu Opcja nie łączy się z --stały opcja.
Dla litu szacuje się IPv6 porty do przodu, użyj bogatego języka.
[--stały] [--strefa=strefa]
--usuń-port-do przodu= port =portier[-portier]:proto=protokół[:port=portier[-portier]][:ropucha=adres[/maska]]
Usunąć IPv4 przekierowanie portu z strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Tę opcję można określić wielokrotnie.
Dla litu szacuje się IPv6 porty do przodu, użyj bogatego języka.
[--stały] [--strefa=strefa]
--Query-forward-port= port =portier[-portier]:proto=protokół[:port=portier[-portier]][:ropucha=adres[/maska]]
Zwróć, czy IPv4 port przekazywania został dodany dla strefa. W przypadku pominięcia strefy
używana będzie strefa domyślna. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
Dla litu szacuje się IPv6 porty do przodu, użyj bogatego języka.
[--stały] [--strefa=strefa] --dodaj-maskaradę [--koniec czasu=czas]
umożliwiać IPv4 maskarada dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Jeśli
podany limit czasu, maskarada będzie aktywna przez określony czas.
czas jest liczbą (sekund) lub liczbą, po której następuje jeden ze znaków s
(sekundy), m (minuty), h (godziny), np 20m or 1h. Maskarada jest przydatna, jeśli
maszyna jest routerem, a maszyny są połączone interfejsem w innej strefie
powinien móc korzystać z pierwszego połączenia.
--koniec czasu Opcja nie łączy się z --stały opcja.
Dla litu szacuje się IPv6 maskarady, proszę używać bogatego języka.
[--stały] [--strefa=strefa] --usuń-maskaradę
Wyłącz IPv4 maskarada dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Jeśli
maskarada została włączona z limitem czasu, zostanie również wyłączona.
Dla litu szacuje się IPv6 maskarady, proszę używać bogatego języka.
[--stały] [--strefa=strefa] --maskarada zapytań
Zwróć czy IPv4 maskarada została włączona strefa. W przypadku pominięcia strefy
używana będzie strefa domyślna. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
Dla litu szacuje się IPv6 maskarady, proszę używać bogatego języka.
[--stały] [--strefa=strefa] --reguły bogate w listy
Dodano rozbudowane reguły językowe listy dla strefa jako lista oddzielona znakiem nowej linii. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna.
[--stały] [--strefa=strefa] --add-bogata-reguła='rządzić' [--koniec czasu=czas]
Dodaj regułę rozszerzonego języka „rządzić' dla strefa. Tę opcję można określić wielokrotnie.
Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Jeśli podano limit czasu, plik rządzić będzie
będą aktywne przez określony czas i zostaną automatycznie usunięte
potem. czas jest liczbą (sekund) lub liczbą, po której następuje jedna z nich
znaków s (sekundy), m (minuty), h (godziny), np 20m or 1h.
Aby zapoznać się z bogatą składnią reguł językowych, spójrz na zapora sieciowa. bogaty język(5).
--koniec czasu Opcja nie łączy się z --stały opcja.
[--stały] [--strefa=strefa] --remove-reguła-bogata='rządzić'
Usuń regułę rozszerzonego języka „rządzić' z strefa. Ta opcja może być określona wielokrotnie
czasy. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Aby zapoznać się z bogatą składnią reguł językowych, spójrz na zapora sieciowa. bogaty język(5).
[--stały] [--strefa=strefa] --reguła bogata w zapytania='rządzić'
Zwróć, czy reguła bogatego języka „rządzić' został dodany dla strefa. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
Aby zapoznać się z bogatą składnią reguł językowych, spójrz na zapora sieciowa. bogaty język(5).
Opcje do Handle Wiązania of interfejsy
Powiązanie interfejsu ze strefą oznacza, że te ustawienia strefy służą do ograniczania ruchu
za pośrednictwem interfejsu.
Opcje w tej sekcji mają wpływ tylko na jedną konkretną strefę. Jeśli używany z --strefa=strefa opcja,
wpływają na strefę strefa. Pominięcie opcji wpływa na strefę domyślną (zob
--get-default-zone).
Aby uzyskać listę wstępnie zdefiniowanych stref, użyj firewall-cmd --get-strefy.
Nazwa interfejsu to ciąg znaków o długości do 16 znaków, który nie może zawierać ' ', „/”, '!'
oraz '*'.
[--stały] [--strefa=strefa] --list-interfejsy
Wyświetl listę interfejsów powiązanych ze strefą strefa jako lista oddzielona spacjami. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna.
[--stały] [--strefa=strefa] --add-interfejs=Interfejs
Interfejs wiązania Interfejs do strefy strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Jako użytkownik końcowy nie potrzebujesz tego w większości przypadków, ponieważ NetworkManager (lub Legacy
usługa sieciowa) automatycznie dodaje interfejsy do stref (wg STREFA= opcja
z ifcfg-Interfejs plik) jeśli NM_CONTROLLED=nie nie jest ustawiony. Powinieneś to zrobić tylko wtedy, gdy
nie ma /etc/sysconfig/network-scripts/ifcfg-Interfejs plik. Jeśli istnieje taki plik
i dodajesz interfejs do strefy za pomocą tego --add-interfejs opcja, upewnij się, że strefa jest
to samo w obu przypadkach, w przeciwnym razie zachowanie byłoby niezdefiniowane. Proszę również o
Spójrz na firewalld(1) strona podręcznika w formacie Koncepcje Sekcja. Do stałego związku
interfejsu ze strefą, zobacz także „Jak ustawić lub zmienić strefę dla połączenia?” W
firewalld.strefy(5).
[--strefa=strefa] --zmień interfejs=Interfejs
Zmień strefę interfejsu Interfejs jest związany ze strefą strefa. to w zasadzie
--remove-interfejs następnie --add-interfejs. Jeśli interfejs nie został powiązany z
strefę wcześniej, zachowuje się jak --add-interfejs. Jeśli strefa zostanie pominięta, zostanie pominięta strefa domyślna
być użytym.
[--stały] [--strefa=strefa] --interfejs-zapytania=Interfejs
Zapytanie, czy interfejs Interfejs jest związany ze strefą strefa. Zwraca 0, jeśli jest prawdziwe, 1
Inaczej.
[--stały] --remove-interfejs=Interfejs
Usuń powiązanie interfejsu Interfejs ze strefy, do której został wcześniej dodany.
Opcje do Handle Wiązania of Źródła
Powiązanie źródła ze strefą oznacza, że te ustawienia strefy będą używane do ograniczania ruchu
z tego źródła.
Adres źródłowy lub zakres adresów to adres IP lub sieciowy adres IP z rozszerzeniem
maska dla IPv4 lub IPv6 lub adres MAC (bez maski). W przypadku protokołu IPv4 maską może być maska sieci
lub zwykły numer. W przypadku protokołu IPv6 maska jest zwykłą liczbą. Użycie nazw hostów nie jest
utrzymany.
Opcje w tej sekcji mają wpływ tylko na jedną konkretną strefę. Jeśli używany z --strefa=strefa opcja,
wpływają na strefę strefa. Pominięcie opcji wpływa na strefę domyślną (zob
--get-default-zone).
Aby uzyskać listę wstępnie zdefiniowanych stref, użyj firewall-cmd [--stały] --get-strefy.
[--stały] [--strefa=strefa] --list-źródła
Wyświetl listę źródeł powiązanych ze strefą strefa jako lista oddzielona spacjami. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna.
[--stały] [--strefa=strefa] --dodaj-źródło=źródło[/maska]
Powiąż źródło źródło[/maska] do strefy strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
[--strefa=strefa] --zmień-źródło=źródło[/maska]
Zmień strefę źródła źródło[/maska] jest powiązany ze strefą strefa. to w zasadzie
--usuń-źródło następnie --dodaj-źródło. Jeśli źródło nie zostało powiązane ze strefą
wcześniej zachowuje się jak --dodaj-źródło. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
[--stały] [--strefa=strefa] --źródło-zapytań=źródło[/maska]
Zapytaj, czy źródło źródło[/maska] jest powiązany ze strefą strefa. Zwraca 0, jeśli jest prawdziwe, 1
Inaczej.
[--stały] --usuń-źródło=źródło[/maska]
Usuń powiązanie źródła źródło[/maska] ze strefy, do której został wcześniej dodany.
ISet Opcje
--stały --nowy-ipset=ipset --rodzaj=ipset rodzaj [--opcja=ipset opcja[=wartość]]
Dodaj nowy stały ipset z określeniem typu i opcji opcjonalnych.
--stały --usuń-ipset=ipset
Usuń istniejący stały ipset.
[--stały] --info-ipset=ipset
Wydrukuj informacje o ipset ipset. Format wyjściowy to:
ipset
rodzaj: rodzaj
opcje: opcja1[=wartość1] ..
wpisy: wpis1 ..
[--stały] --get-ipsets
Drukuj predefiniowane zestawy ipset jako listę oddzieloną spacjami.
[--stały] --ipset=ipset --add-wpis=wejście
Dodaj nowy wpis do ipset.
[--stały] --ipset=ipset --usuń wpis=wejście
Usuń wpis z iset.
[--stały] --ipset=ipset --zapytanie-wpis=wejście
Zwróć, czy wpis został dodany do ipset. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--stały] --ipset=ipset --pobierz-wpisy
Wyświetl listę wszystkich wpisów pliku iset.
Usługi Opcje
Opcje w tej sekcji mają wpływ tylko na jedną konkretną usługę.
[--stały] --usługa-informacyjna=usługa
Wydrukuj informacje o usłudze usługa. Format wyjściowy to:
usługa
porty: port1 ..
protokoły: protokół1 ..
moduły: moduł 1 ..
miejsce docelowe: Ipv1:adres 1 ..
Poniższe opcje są dostępne tylko w konfiguracji stałej.
--stały --nowa-usługa=usługa
Dodaj nową stałą usługę.
--stały --usuń-usługę=usługa
Usuń istniejącą stałą usługę.
--stały --usługa=usługa --dodaj-port=portier[-portier]/protokół
Dodaj nowy port do usługi stałej.
--stały --usługa=usługa --remove-portu=portier[-portier]/protokół
Usuń port ze stałej usługi.
--stały --usługa=usługa --Query-port=portier[-portier]/protokół
Powrót czy port został dodany do stałej obsługi.
--stały --usługa=usługa --get-porty
Lista portów dodanych do stałej usługi.
--stały --usługa=usługa --add-protokół=protokół
Dodaj nowy protokół do usługi stałej.
--stały --usługa=usługa --remove-protokół=protokół
Usuń protokół z serwisu stałego.
--stały --usługa=usługa --protokół zapytania=protokół
Zwrot jeżeli protokół został dodany do serwisu stałego.
--stały --usługa=usługa --get-protokoły
Lista protokołów dodanych do usługi stałej.
--stały --usługa=usługa --dodaj-moduł=moduł
Dodaj nowy moduł do usługi stałej.
--stały --usługa=usługa --remove-moduł=moduł
Usuń moduł ze stałego serwisu.
--stały --usługa=usługa --moduł-zapytań=moduł
Zwróć jeśli moduł został dodany do serwisu stałego.
--stały --usługa=usługa --get-modules
Lista modułów dodanych do stałej usługi.
--stały --usługa=usługa --add-miejsce docelowe=ipv:adres[/maska]
Ustaw miejsce docelowe dla ipv na adres[/mask] w stałej usłudze.
--stały --usługa=usługa --remove-miejsce docelowe=ipv
Usuń miejsce docelowe dla ipv ze stałej usługi.
--stały --usługa=usługa --miejsce-zapytania=ipv:adres[/maska]
Zwróć, czy docelowy adres IP na adres[/mask] został ustawiony na stałe
service.
--stały --usługa=usługa --get-miejsca docelowe
Lista miejsc docelowych dodanych do stałej usługi.
Internet Control: Wybierz kraj ⌄ Protokół (ICMP) rodzaj Opcje
Opcje w tej sekcji mają wpływ tylko na jeden konkretny typ icmp.
[--stały] --info-icmptype=typ_icmp
Wydrukuj informacje o typie icmp typ_icmp. Format wyjściowy to:
typ_icmp
miejsce docelowe: Ipv1 ..
Poniższe opcje są dostępne tylko w konfiguracji stałej.
--stały --nowy-icmptype=typ_icmp
Dodaj nowy stały typ icmp.
--stały --usuń typ-icmp=typ_icmp
Usuń istniejący stały typ icmp.
--stały --icmptyp=typ_icmp --add-miejsce docelowe=ipv
Włącz miejsce docelowe dla ipv w stałym typie icmp. ipv jest jednym z Ipv4 or Ipv6.
--stały --icmptyp=typ_icmp --remove-miejsce docelowe=ipv
Wyłącz miejsce docelowe dla ipv w stałym typie icmp. ipv jest jednym z Ipv4 or Ipv6.
--stały --icmptyp=typ_icmp --miejsce-zapytania=ipv
Zwróć, czy miejsce docelowe dla ipv jest włączone na stałe w icmptype. ipv jest jednym z
Ipv4 or Ipv6.
--stały --icmptyp=typ_icmp --get-miejsca docelowe
Lista miejsc docelowych w stałym typie icmp.
Skierować Opcje
Opcje bezpośrednie zapewniają bardziej bezpośredni dostęp do zapory. Te opcje wymagają użytkownika
znać podstawowe pojęcia związane z iptables, tj stół (filtr/maglownica/nat/...), łańcuch
(WEJŚCIE/WYJŚCIE/DO PRZODU/...), Polecenia (-A/-D/-I/...), parametry (-p/-s/-d/-j/...) i
cele (AKCEPTUJĘ/ODPUSZCZAM/ODRZUCAM/...).
Opcje bezpośrednie powinny być używane tylko w ostateczności, gdy nie można ich użyć
przykład --dodaj usługę=usługa or --add-bogata-reguła='rządzić'.
Pierwszym argumentem każdej opcji musi być Ipv4 or Ipv6 or eb. Z Ipv4 będzie dla
IPv4 (iptables(8)), z Ipv6 dla IPv6 (ip6tables(8)) i z eb dla mostków ethernetowych
(ebtables(8)).
[--stały] --bezpośredni --pobierz-wszystkie-łańcuchy
Dodaj wszystkie łańcuchy do wszystkich tabel. Ta opcja dotyczy tylko wcześniej dodanych łańcuchów
w --bezpośredni --dodaj łańcuch.
[--stały] --bezpośredni --get-łańcuchy { Ipv4 | Ipv6 | eb } stół
Dodaj wszystkie łańcuchy do tabeli stół jako lista oddzielona spacjami. Ta opcja dotyczy
tylko łańcuchy dodane wcześniej za pomocą --bezpośredni --dodaj łańcuch.
[--stały] --bezpośredni --dodaj łańcuch { Ipv4 | Ipv6 | eb } stół łańcuch
Dodaj nowy łańcuch z nazwą łańcuch do stołu stół. Upewnij się, że nie ma innego łańcucha
już ta nazwa
Istnieją już podstawowe łańcuchy, których można użyć na przykład z opcjami bezpośrednimi WEJŚCIE_bezpośrednie
łańcuch (zob iptables-zapisz | grep kierować wyjście dla wszystkich). Te łańcuchy są
wskoczył do łańcuchów przed strefami, czyli każdą wprowadzoną regułą WEJŚCIE_bezpośrednie będzie
sprawdzone przed regułami w strefach.
[--stały] --bezpośredni --usuń-łańcuch { Ipv4 | Ipv6 | eb } stół łańcuch
Usuń łańcuszek z nazwą łańcuch ze stołu stół. Tylko łańcuchy dodane wcześniej za pomocą
--bezpośredni --dodaj łańcuch można usunąć w ten sposób.
[--stały] --bezpośredni --łańcuch-zapytań { Ipv4 | Ipv6 | eb } stół łańcuch
Zwróć, czy łańcuch z nazwą łańcuch istnieje w tabeli stół. Zwraca 0, jeśli jest prawdziwe, 1
W przeciwnym razie. Ta opcja dotyczy tylko łańcuchów dodanych wcześniej za pomocą --bezpośredni
--dodaj łańcuch.
[--stały] --bezpośredni --pobierz-wszystkie-reguły
Pobierz wszystkie reguły dodane do wszystkich łańcuchów we wszystkich tabelach jako listę oddzielonych znakami nowej linii
Priorytet i argumenty. Ta opcja dotyczy tylko reguł dodanych wcześniej za pomocą --bezpośredni
--dodaj regułę.
[--stały] --bezpośredni --pobierz-reguły { Ipv4 | Ipv6 | eb } stół łańcuch
Dodaj wszystkie reguły do łańcucha łańcuch w tabeli stół jako listę oddzielonych znakami nowej linii
Priorytet i argumenty. Ta opcja dotyczy tylko reguł dodanych wcześniej za pomocą --bezpośredni
--dodaj regułę.
[--stały] --bezpośredni --dodaj regułę { Ipv4 | Ipv6 | eb } stół łańcuch priorytet args
Dodaj regułę z argumentami args łańcuch łańcuch w tabeli stół z priorytetem
priorytet.
priorytet służy do porządkowania reguł. Priorytet 0 oznacza dodanie reguły na szczycie łańcucha,
przy wyższym priorytecie reguła zostanie dodana niżej. Zasady z tym samym
pierwszeństwa są na tym samym poziomie, a kolejność tych zasad nie jest ustalona i może
zmiana. Jeśli chcesz mieć pewność, że reguła zostanie dodana po innej, użyj a
niski priorytet dla pierwszego i wyższy dla następnych.
[--stały] --bezpośredni --remove-reguła { Ipv4 | Ipv6 | eb } stół łańcuch priorytet args
Usuń regułę za pomocą priorytet i argumenty args z łańcucha łańcuch w tabeli stół.
Tylko reguły dodane wcześniej za pomocą --bezpośredni --dodaj regułę można usunąć w ten sposób.
[--stały] --bezpośredni --remove-reguły { Ipv4 | Ipv6 | eb } stół łańcuch
Usuń wszystkie reguły w łańcuchu o nazwie łańcuch istnieje w tabeli stół. Ta opcja
dotyczy tylko reguł dodanych wcześniej za pomocą --bezpośredni --dodaj regułę w tym łańcuchu.
[--stały] --bezpośredni --reguła-zapytania { Ipv4 | Ipv6 | eb } stół łańcuch priorytet args
Zwróć, czy reguła z priorytet i argumenty args istnieje w łańcuchu łańcuch in
stół stół. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie. Ta opcja dotyczy tylko reguł
poprzednio dodany z --bezpośredni --dodaj regułę.
--bezpośredni --Przejść przez { Ipv4 | Ipv6 | eb } args
Przekaż polecenie do zapory. args może być wszystkim iptables, ip6tables oraz
ebtables argumenty wiersza poleceń. To polecenie nie jest śledzone, co oznacza, że firewalld
nie jest w stanie podać informacji o tym poleceniu w późniejszym terminie, również nie wymienia
nieśledzone przepustki.
[--stały] --bezpośredni --get-all-passthroughs
Uzyskaj wszystkie reguły przekazywania jako listę wartości ipv i argumentów oddzielonych znakami nowej linii.
[--stały] --bezpośredni --get-przejścia { Ipv4 | Ipv6 | eb }
Uzyskaj wszystkie reguły przekazywania dla wartości ipv jako listę oddzielonych znakami nowej linii
Priorytet i argumenty.
[--stały] --bezpośredni --dodaj-przejście { Ipv4 | Ipv6 | eb } args
Dodaj regułę przekazywania z argumentami args dla wartości ipv.
[--stały] --bezpośredni --remove-przejściówka { Ipv4 | Ipv6 | eb } args
Usuń regułę przekazywania z argumentami args dla wartości ipv.
[--stały] --bezpośredni --przekazywanie-zapytania { Ipv4 | Ipv6 | eb } args
Zwróć czy reguła przekazywania z argumentami args istnieje dla wartości ipv.
Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
Lockdown Opcje
Lokalne aplikacje lub usługi mogą zmienić konfigurację zapory, jeśli tak jest
uruchomione jako root (przykład: libvirt) lub uwierzytelnione przy użyciu PolicyKit. Z tą funkcją
administratorzy mogą zablokować konfigurację zapory, tak aby blokowane były tylko aplikacje
białej listy mogą żądać zmian w zaporze.
Kontrola dostępu do blokady ogranicza metody D-Bus, które zmieniają reguły zapory. Zapytanie,
metody list i get nie są ograniczone.
Funkcja blokady to bardzo uproszczona wersja polityki użytkownika i aplikacji
firewalld i jest domyślnie wyłączona.
--blokada-włączona
Włącz blokadę. Bądź ostrożny - jeśli firewall-cmd nie znajduje się na białej liście blokad, kiedy ty
enable lockdown, nie będziesz mógł go ponownie wyłączyć za pomocą firewall-cmd, tak
trzeba edytować firewalld.conf.
Jest to zmiana czasowa i trwała.
--blokada-wyłączona
Wyłącz blokadę.
Jest to zmiana czasowa i trwała.
--blokada-zapytania
Zapytaj, czy blokada jest włączona. Zwraca 0, jeśli blokada jest włączona, 1 w przeciwnym razie.
Lockdown Whitelist Opcje
Biała lista blokady może zawierać Polecenia, konteksty, Użytkownicy oraz użytkownik ids.
Jeśli pozycja polecenia na białej liście kończy się gwiazdką „*”, oznacza to, że wszystkie wiersze poleceń
począwszy od polecenia będzie pasować. Jeśli nie ma „*”, polecenie absolutne
argumenty włączające muszą być zgodne.
Polecenia dla użytkownika root i innych nie zawsze są takie same. Przykład: Jako root
/bin/firewall-cmd jest używany jako zwykły użytkownik /usr/bin/firewall-cmd jest używany w Fedorze.
Kontekst to kontekst bezpieczeństwa (SELinux) uruchomionej aplikacji lub usługi. dostać
kontekst użycia uruchomionej aplikacji ps -e --kontekst.
Ostrzeżenie: Jeśli kontekst jest nieograniczony, otworzy to dostęp dla więcej niż
żądanej aplikacji.
Wpisy na białej liście blokady są sprawdzane w następującej kolejności:
1. kontekst
2. uid
3. użytkownik
4. komenda
[--stały] --list-lockdown-biała lista-polecenia
Wyświetl listę wszystkich wierszy poleceń, które znajdują się na białej liście.
[--stały] --add-lockdown-whitelist-polecenie=komenda
Dodaj komenda do białej listy.
[--stały] --remove-lockdown-whitelist-polecenie=komenda
Usunąć komenda z białej listy.
[--stały] --query-lockdown-polecenie-białej listy=komenda
Zapytaj czy komenda jest na białej liście. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--stały] --lista-blokada-biała lista-konteksty
Wymień wszystkie konteksty, które znajdują się na białej liście.
[--stały] --add-lockdown-whitelist-context=kontekst
Dodaj kontekst kontekst do białej listy.
[--stały] --usuń-blokadę-białej listy-kontekst=kontekst
Usunąć kontekst z białej listy.
[--stały] --query-lockdown-whitelist-context=kontekst
Zapytaj czy kontekst jest na białej liście. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--stały] --list-lockdown-whitelist-uids
Wyświetl listę wszystkich identyfikatorów użytkowników znajdujących się na białej liście.
[--stały] --add-lockdown-whitelist-uid=uid
Dodaj identyfikator użytkownika uid do białej listy.
[--stały] --usuń-uid-blokady-białej listy=uid
Usuń identyfikator użytkownika uid z białej listy.
[--stały] --query-lockdown-whitelist-uid=uid
Zapytanie, czy identyfikator użytkownika uid jest na białej liście. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--stały] --lista-blokada-biała lista-użytkowników
Wyświetl listę wszystkich nazw użytkowników znajdujących się na białej liście.
[--stały] --add-lockdown-whitelist-user=użytkownik
Dodaj nazwę użytkownika użytkownik do białej listy.
[--stały] --usuń-blokującego-białą listę-użytkownika=użytkownik
Usuń nazwę użytkownika użytkownik z białej listy.
[--stały] --query-lockdown-whitelist-user=użytkownik
Zapytanie, czy nazwa użytkownika użytkownik jest na białej liście. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
Panika Opcje
--panika-włączona
Włącz tryb paniki. Wszystkie przychodzące i wychodzące pakiety są odrzucane, aktywne połączenia
Wygaśnie. Włącz tę opcję tylko w przypadku poważnych problemów z siecią
środowisko. Na przykład, jeśli maszyna zostanie zhakowana.
Jest to zmiana tylko w czasie wykonywania.
--wyłączenie paniki
Wyłącz tryb paniki. Po wyłączeniu trybu paniki nawiązane połączenia mogą działać
ponownie, jeśli tryb paniki był włączony przez krótki okres czasu.
Jest to zmiana tylko w czasie wykonywania.
--zapytanie-panika
Zwraca 0, jeśli tryb paniki jest włączony, 1 w przeciwnym razie.
PRZYKŁADY
Aby uzyskać więcej przykładów, zobacz http://fedoraproject.org/wiki/FirewallD
Przykład 1
Włącz usługę http w strefie domyślnej. Jest to zmiana tylko w czasie wykonywania, tj. obowiązuje do
zrestartować.
firewall-cmd --add-service=http
Przykład 2
Włącz port 443/tcp natychmiast i na stałe w strefie domyślnej. Aby dokonać zmiany
skuteczne natychmiast, a także po restarcie potrzebujemy dwóch poleceń. Pierwsze polecenie sprawia
zmiana w konfiguracji runtime, czyli wprowadza ją w życie natychmiast, aż do restartu.
Drugie polecenie wprowadza zmianę w konfigurację na stałe, czyli wprowadza ją w życie
po ponownym uruchomieniu.
firewall-cmd --add-port=443/tcp
firewall-cmd --permanent --add-port=443/tcp
EXIT KODY
W przypadku sukcesu zwracane jest 0. W przypadku awarii wyjście jest koloru czerwonego, a kod wyjścia to 2
w przypadku niewłaściwego użycia opcji wiersza poleceń lub jednego z następujących kodów błędów w innych
przypadki:
┌────────────────────┬──────┐
│sznur │ Code │
├────────────────────┼──────┤
│ALREADY_ENABLED │ 11
├────────────────────┼──────┤
│NIE_WŁĄCZONE │ 12 │
├────────────────────┼──────┤
│COMMAND_FAILED │ 13 │
├────────────────────┼──────┤
│NO_IPV6_NAT │ 14 │
├────────────────────┼──────┤
│TRYB_PANIC │ 15 │
├────────────────────┼──────┤
│ZONE_ALREADY_SET │ 16 │
├────────────────────┼──────┤
│NIEZNANY_INTERFACE │ 17 │
├────────────────────┼──────┤
│STREFA_KONFLIKT │ 18 │
├────────────────────┼──────┤
│BUILTIN_CHAIN │ 19 │
├────────────────────┼──────┤
│EBTABLES_NO_REJECT │ 20 │
├────────────────────┼──────┤
│NIE_PRZECIĄŻALNY │ 21 │
├────────────────────┼──────┤
│NO_DEFAULTS │ 22 │
├────────────────────┼──────┤
│BUILTIN_STREFA │ 23 │
├────────────────────┼──────┤
│BUILTIN_SERVICE │ 24 │
├────────────────────┼──────┤
│BUILTIN_ICMPTYPE │ 25 │
├────────────────────┼──────┤
│NAZWA_KONFLIKT │ 26 │
├────────────────────┼──────┤
│NAZWA_MISMATCH │ 27 │
├────────────────────┼──────┤
│BŁĄD_PARSE │ 28 │
├────────────────────┼──────┤
│ODMOWA_DOSTĘPU │ 29 │
├────────────────────┼──────┤
│NIEZNANE_ŹRÓDŁO │ 30 │
├────────────────────┼──────┤
│RT_TO_PERM_FAILED │ 31 │
├────────────────────┼──────┤
│IPSET_WITH_TIMEOUT │ 32 │
├────────────────────┼──────┤
│BUILTIN_IPSET │ 33 │
├────────────────────┼──────┤
│JUŻ USTAWIONO │ 34 │
├────────────────────┼──────┤
│INVALID_ACTION │ 100 │
├────────────────────┼──────┤
│INVALID_SERVICE │ 101 │
├────────────────────┼──────┤
│INVALID_PORT │ 102 │
├────────────────────┼──────┤
│INVALID_PROTOCOL │ 103 │
├────────────────────┼──────┤
│INVALID_INTERFACE │ 104 │
├────────────────────┼──────┤
│INVALID_ADDR │ 105 │
├────────────────────┼──────┤
│INVALID_FORWARD │ 106 │
├────────────────────┼──────┤
│INVALID_ICMPTYPE │ 107 │
├────────────────────┼──────┤
│TABELA_WAŻNOŚCI │ 108 │
├────────────────────┼──────┤
│INVALID_CHAIN │ 109 │
├────────────────────┼──────┤
│INVALID_TARGET │ 110 │
├────────────────────┼──────┤
│INVALID_IPV │ 111 │
├────────────────────┼──────┤
│NIEWAŻNA_STREFA │ 112 │
├────────────────────┼──────┤
│INVALID_PROPERTY │ 113 │
├────────────────────┼──────┤
│INVALID_VALUE │ 114 │
├────────────────────┼──────┤
│INVALID_OBJECT │ 115 │
├────────────────────┼──────┤
│INVALID_NAME │ 116 │
├────────────────────┼──────┤
│INVALID_FILENAME │ 117 │
├────────────────────┼──────┤
│INVALID_DIRECTORY │ 118 │
├────────────────────┼──────┤
│INVALID_TYPE │ 119 │
├────────────────────┼──────┤
│INVALID_SETTING │ 120 │
├────────────────────┼──────┤
│INVALID_DESTINATION │ 121 │
├────────────────────┼──────┤
│INVALID_RULE │ 122 │
├────────────────────┼──────┤
│INVALID_LIMIT │ 123 │
├────────────────────┼──────┤
│INVALID_FAMILY │ 124 │
├────────────────────┼──────┤
│INVALID_LOG_LEVEL │ 125 │
├────────────────────┼──────┤
│INVALID_AUDIT_TYPE │ 126 │
├────────────────────┼──────┤
│INVALID_ZNACZNIK │ 127 │
├────────────────────┼──────┤
│INVALID_CONTEXT │ 128 │
├────────────────────┼──────┤
│INVALID_COMMAND │ 129 │
├────────────────────┼──────┤
│INVALID_USER │ 130 │
├────────────────────┼──────┤
│INVALID_UID │ 131 │
├────────────────────┼──────┤
│INVALID_MODULE │ 132 │
├────────────────────┼──────┤
│INVALID_PASSTHROUGH │ 133 │
├────────────────────┼──────┤
│INVALID_MAC │ 134 │
├────────────────────┼──────┤
│INVALID_IPSET │ 135 │
├────────────────────┼──────┤
│INVALID_ENTRY │ 136 │
├────────────────────┼──────┤
│NIEWAŻNA_OPCJA │ 137 │
├────────────────────┼──────┤
│BRAKUJĄCA_TABELA │ 200 │
├────────────────────┼──────┤
│MISSING_CHAIN │ 201 │
├────────────────────┼──────┤
│BRAKUJĄCY_PORT │ 202 │
├────────────────────┼──────┤
│BRAKUJĄCY_PROTOKÓŁ │ 203 │
├────────────────────┼──────┤
│BRAKUJĄCY_ADDR │ 204 │
├────────────────────┼──────┤
│NAZWA_BRAKOWANIA │ 205 │
├────────────────────┼──────┤
│BRAKUJĄCE_USTAWIENIA │ 206 │
├────────────────────┼──────┤
│MISSING_FAMILY 207 │
├────────────────────┼──────┤
│NIE_URUCHOMIONA │ 252 │
├────────────────────┼──────┤
│NIE_UPOWAŻNIONY │ 253 │
├────────────────────┼──────┤
│NIEZNANY_BŁĄD │ 254 │
└────────────────────┴───────
Użyj firewall-cmd online, korzystając z usług onworks.net
