To jest polecenie firewall-offline-cmd, które można uruchomić w darmowym dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
firewall-offline-cmd - klient wiersza poleceń offline firewalld
STRESZCZENIE
zapora sieciowa-offline-cmd [OPCJE...]
OPIS
firewall-offline-cmd to klient wiersza poleceń offline demona firewalld. Powinno
być używany tylko wtedy, gdy usługa firewalld nie jest uruchomiona. Na przykład do migracji z
system-config-firewall/lokkit lub w środowisku instalacyjnym, aby skonfigurować ustawienia zapory
z kickstartem.
Niektóre opcje lokkit nie mogą zostać automatycznie przekonwertowane na firewalld, spowoduje to
komunikat o błędzie lub ostrzeżenie. To narzędzie próbuje przekonwertować jak najwięcej, ale są
ograniczenia, na przykład z niestandardowymi regułami, modułami i maskaradami.
Sprawdź konfigurację zapory po użyciu tego narzędzia.
OPCJE
Jeśli nie podano żadnych opcji, konfiguracja z /etc/sysconfig/system-config-firewall będzie
migrowane.
Obsługiwane są następujące opcje:
Pomoc Opcje
-h, --help
Drukuje krótki tekst pomocy i istnieje.
Rynek Opcje
--włączony
Włącz zaporę. Ta opcja jest opcją domyślną i aktywuje zaporę sieciową, jeśli
nie jest jeszcze włączony, o ile opcja --wyłączone nie jest podany.
--wyłączone
Wyłącz zaporę, wyłączając usługę firewalld.
Lokkit zgodność Opcje
Opcje te są prawie identyczne z opcjami programu lokkit.
--dodajmoduł=moduł
Ta opcja spowoduje wyświetlenie komunikatu ostrzegawczego i zostanie zignorowana.
Obsługa pomocników netfilter została całkowicie połączona z usługami. Dodawanie lub
usuwanie pomocników netfilter poza usługami nie jest już zatem potrzebne. Dla
Więcej informacji na temat obsługi pomocników netfilter w usługach można znaleźć na stronie
zapora sieciowa.zone(5).
--usuń moduł
Ta opcja spowoduje wyświetlenie komunikatu ostrzegawczego i zostanie zignorowana.
Obsługa pomocników netfilter została całkowicie połączona z usługami. Dodawanie lub
usuwanie pomocników netfilter poza usługami nie jest już zatem potrzebne. Dla
Więcej informacji na temat obsługi pomocników netfilter w usługach można znaleźć na stronie
zapora sieciowa.zone(5).
--usuń-usługę=usługa
Usuń usługę ze strefy domyślnej. Tę opcję można określić wielokrotnie.
Usługa jest jedną z usług świadczonych przez firewalld. Aby uzyskać listę obsługiwanych
usługi, korzystanie firewall-cmd --get-services.
-s usługa, --usługa=usługa
Dodaj usługę do strefy domyślnej. Tę opcję można określić wielokrotnie.
Usługa jest jedną z usług świadczonych przez firewalld. Aby uzyskać listę obsługiwanych
usługi, korzystanie firewall-cmd --get-services.
-p portier[-portier]:protokół, --Port=portier[-portier]:protokół
Dodaj port do strefy domyślnej. Tę opcję można określić wielokrotnie.
Port może być pojedynczym numerem portu lub zakresem portów portier-portier,
protokół może być tcp or udp.
-t Interfejs, --zaufanie=Interfejs
Ta opcja spowoduje wyświetlenie komunikatu ostrzegawczego.
Oznacz interfejs jako zaufany. Tę opcję można określić wielokrotnie. The
interfejs zostanie powiązany ze strefą zaufaną.
Jeśli interfejs jest używany w połączeniu zarządzanym przez NetworkManager lub jeśli istnieje
ifcfg dla tego interfejsu, strefa zostanie zmieniona na strefę zdefiniowaną w pliku
konfiguracji, gdy tylko zostanie aktywowana. Aby zmienić strefę połączenia użyj
nm-edytor-połączeń i ustaw strefę na zaufaną, w przypadku pliku ifcfg użyj edytora i
dodaj „STREFA=zaufana”. Jeśli strefa nie jest zdefiniowana w pliku ifcfg, plik firewalld
używana będzie strefa domyślna.
-m Interfejs, --mask=Interfejs
Ta opcja spowoduje wyświetlenie komunikatu ostrzegawczego.
Maskarada zostanie włączona w strefie domyślnej. Argumentem interfejsu będzie
ignorowane. To jest dla IPv4 tylko.
--reguły-niestandardowe=[rodzaj:][stół:]filename
Ta opcja spowoduje wyświetlenie komunikatu ostrzegawczego i zostanie zignorowana.
Pliki reguł niestandardowych nie są obsługiwane przez firewalld.
--przesyłający-port=jeśli=Interfejs:port=Port:proto=protokół[:port=miejsce przeznaczenia
Port:][:ropucha=miejsce przeznaczenia adres]
Ta opcja spowoduje wyświetlenie komunikatu ostrzegawczego.
Dodaj IPv4 przekierowanie portu w strefie domyślnej. Ta opcja może być określona wielokrotnie
razy.
Port może być pojedynczym numerem portu portier lub zakres portów portier-portier,
protokół może być tcp or udp. Adresem docelowym jest adres IP.
--blok-icmp=typ_icmp
Ta opcja spowoduje wyświetlenie komunikatu ostrzegawczego.
Dodaj blok ICMP dla typ_icmp w strefie domyślnej. Tę opcję można określić
wiele razy.
Połączenia typ_icmp jest jednym z typów icmp obsługiwanych przez firewalld. Aby uzyskać listę
obsługiwane typy icmp: firewall-cmd --get-icmptypes
Strefa Opcje
--get-default-zone
Drukuj domyślną strefę dla połączeń i interfejsów.
--set-default-zone=strefa
Ustaw strefę domyślną dla połączeń i interfejsów, dla których nie wybrano żadnej strefy.
Ustawienie strefy domyślnej zmienia strefę dla połączeń lub interfejsów, tj
używając strefy domyślnej.
--get-strefy
Drukuj predefiniowane strefy jako listę oddzieloną spacjami.
--get-services
Drukuj predefiniowane usługi jako listę oddzieloną spacjami.
--get-icmptypes
Wydrukuj predefiniowane typy icmp jako listę oddzieloną spacjami.
--get-strefa-interfejsu=Interfejs
Wydrukuj nazwę strefy Interfejs jest związany z lub Nie strefa.
--get-strefa-źródła=źródło[/maska]
Wydrukuj nazwę strefy źródło[/maska] jest związany z lub Nie strefa.
--strefa-informacyjna=strefa
Wydrukuj informacje o strefie strefa. Format wyjściowy to:
strefa
interfejsy: interfejs1 ..
źródła: źródło1 ..
usługi: service1 ..
porty: port1 ..
protokoły: protokół1 ..
forward-ports:
port-do przodu1
..
icmp-blocks: typ-icmp1 ..
bogate zasady:
bogata reguła1
..
--list-all-strefy
Wyświetl listę wszystkich dodanych lub włączonych we wszystkich strefach. Format wyjściowy to:
zone1
interfejsy: interfejs1 ..
źródła: źródło1 ..
usługi: service1 ..
porty: port1 ..
protokoły: protokół1 ..
forward-ports:
port-do przodu1
..
icmp-blocks: typ-icmp1 ..
bogate zasady:
bogata reguła1
..
..
--nowa-strefa=strefa
Dodaj nową stałą strefę.
--delete-strefa=strefa
Usuń istniejącą stałą strefę.
--strefa=strefa --get-cel
Zdobądź cel w stałej strefie.
--strefa=strefa --ustal cel=strefa
Ustaw cel stałej strefy.
Opcje do Przystosować się i Pytanie strefy
Opcje w tej sekcji mają wpływ tylko na jedną konkretną strefę. Jeśli używany z --strefa=strefa opcja,
wpływają na strefę strefa. Pominięcie opcji wpływa na strefę domyślną (zob
--get-default-zone).
[--strefa=strefa] --lista-wszystkich
Wyświetl listę wszystkich dodanych lub włączonych w strefa. Jeśli strefa zostanie pominięta, zostanie wybrana strefa domyślna
używany.
[--strefa=strefa] --lista-usług
Lista usług dodanych dla strefa jako lista oddzielona spacjami. Jeśli strefa jest pominięta, domyślnie
strefa będzie używana.
[--strefa=strefa] --dodaj usługę=usługa
Dodaj usługę dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ta opcja może
być określony wielokrotnie.
Usługa jest jedną z usług świadczonych przez firewalld. Aby uzyskać listę obsługiwanych
usługi, korzystanie firewall-cmd --get-services.
[--strefa=strefa] --remove-usługi-ze-strefy=usługa
Usuń usługę z strefa. Tę opcję można określić wielokrotnie. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna.
[--strefa=strefa] --usługa-zapytania=usługa
Zwróć czy usługa został dodany dla strefa. Jeśli strefa zostanie pominięta, zostanie pominięta strefa domyślna
być użytym. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--strefa=strefa] --list-porty
Lista portów dodanych dla strefa jako lista oddzielona spacjami. Port ma postać
portier[-portier]/protokół, może to być para portów i protokołów lub zakres portów
z protokołem. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
[--strefa=strefa] --dodaj-port=portier[-portier]/protokół
Dodaj port dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ta opcja może
być określony wielokrotnie.
Port może być pojedynczym numerem portu lub zakresem portów portier-portier,
protokół może być tcp or udp.
[--strefa=strefa] --remove-portu=portier[-portier]/protokół
Usuń port z strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ta opcja
można określić wielokrotnie.
[--strefa=strefa] --Query-port=portier[-portier]/protokół
Zwróć, czy port został dodany strefa. Jeśli strefa zostanie pominięta, zostanie pominięta strefa domyślna
być użytym. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--strefa=strefa] --list-protokoły
Lista protokołów dodanych dla strefa jako lista oddzielona spacjami. Jeśli strefa jest pominięta, domyślnie
strefa będzie używana.
[--strefa=strefa] --add-protokół=protokół
Dodaj protokół dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ta opcja
można określić wielokrotnie. Jeśli podano limit czasu, reguła będzie aktywna przez
przez określony czas, a następnie zostaną automatycznie usunięte. czas is
albo liczba (sekund) albo liczba, po której następuje jeden ze znaków s (sekundy), m
(minuty), h (godziny), np 20m or 1h.
Protokołem może być dowolny protokół obsługiwany przez system. Proszę spojrzeć na
/ etc / protocols dla obsługiwanych protokołów.
[--strefa=strefa] --usuń-protokół=protokół
Usuń protokół z strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna. Ten
opcję można podać wielokrotnie.
[--strefa=strefa] --protokół zapytania=protokół
Zwróć, czy protokół został dodany dla strefa. Jeśli strefa jest pominięta, strefa domyślna
będzie użyty. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--strefa=strefa] --lista-icmp-bloki
Lista dodanych bloków typu Internet Control Message Protocol (ICMP). strefa jako przestrzeń
oddzielna lista. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
[--strefa=strefa] --add-icmp-blok=typ_icmp
Dodaj blok ICMP dla typ_icmp dla strefa. Jeśli strefa zostanie pominięta, zostanie wybrana strefa domyślna
używany. Tę opcję można określić wielokrotnie.
Połączenia typ_icmp jest jednym z typów icmp obsługiwanych przez firewalld. Aby uzyskać listę
obsługiwane typy icmp: firewall-cmd --get-icmptypes
[--strefa=strefa] --usuń blok-icmp=typ_icmp
Usuń blok ICMP dla typ_icmp od strefa. Jeśli strefa zostanie pominięta, zostanie wybrana strefa domyślna
używany. Tę opcję można określić wielokrotnie.
[--strefa=strefa] --query-icmp-block=typ_icmp
Zwróć, czy blok ICMP dla typ_icmp został dodany dla strefa. W przypadku pominięcia strefy
używana będzie strefa domyślna. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
[--strefa=strefa] --lista-portów-przekazowych
Lista IPv4 porty przekierowania dodane dla strefa jako lista oddzielona spacjami. W przypadku pominięcia strefy
używana będzie strefa domyślna.
W razie zamówieenia projektu IPv6 porty do przodu, użyj bogatego języka.
[--strefa=strefa]
--dodaj-port-forward= port =portier[-portier]:proto=protokół[:port=portier[-portier]][:ropucha=adres[/maska]]
Dodaj IPv4 port przekierowania dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Tę opcję można określić wielokrotnie.
Port może być pojedynczym numerem portu portier lub zakres portów portier-portier,
protokół może być tcp or udp. Adres docelowy to prosty adres IP.
W razie zamówieenia projektu IPv6 porty do przodu, użyj bogatego języka.
[--strefa=strefa]
--usuń-port-do przodu= port =portier[-portier]:proto=protokół[:port=portier[-portier]][:ropucha=adres[/maska]]
Usunąć IPv4 przekierowanie portu z strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Tę opcję można określić wielokrotnie.
W razie zamówieenia projektu IPv6 porty do przodu, użyj bogatego języka.
[--strefa=strefa]
--Query-forward-port= port =portier[-portier]:proto=protokół[:port=portier[-portier]][:ropucha=adres[/maska]]
Zwróć, czy IPv4 port przekazywania został dodany dla strefa. W przypadku pominięcia strefy
używana będzie strefa domyślna. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
W razie zamówieenia projektu IPv6 porty do przodu, użyj bogatego języka.
[--strefa=strefa] --dodaj-maskaradę
umożliwiać IPv4 maskarada dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Maskarada jest przydatna, jeśli maszyna jest routerem, a maszyny są połączone za pośrednictwem sieci
interfejs w innej strefie powinien mieć możliwość korzystania z pierwszego połączenia.
W razie zamówieenia projektu IPv6 maskarady, proszę używać bogatego języka.
[--strefa=strefa] --usuń-maskaradę
Wyłącz IPv4 maskarada dla strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
W razie zamówieenia projektu IPv6 maskarady, proszę używać bogatego języka.
[--strefa=strefa] --maskarada zapytań
Zwróć czy IPv4 maskarada została włączona strefa. W przypadku pominięcia strefy
używana będzie strefa domyślna. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
W razie zamówieenia projektu IPv6 maskarady, proszę używać bogatego języka.
[--strefa=strefa] --reguły bogate w listy
Dodano rozbudowane reguły językowe listy dla strefa jako lista oddzielona znakiem nowej linii. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna.
[--strefa=strefa] --add-bogata-reguła='rządzić'
Dodaj regułę rozszerzonego języka „rządzić' dla strefa. Tę opcję można określić wielokrotnie.
Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Aby zapoznać się z bogatą składnią reguł językowych, spójrz na zapora sieciowa. bogaty język(5).
[--strefa=strefa] --remove-reguła-bogata='rządzić'
Usuń regułę rozszerzonego języka „rządzić' z strefa. Ta opcja może być określona wielokrotnie
czasy. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
Aby zapoznać się z bogatą składnią reguł językowych, spójrz na zapora sieciowa. bogaty język(5).
[--strefa=strefa] --reguła bogata w zapytania='rządzić'
Zwróć, czy reguła bogatego języka „rządzić' został dodany dla strefa. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
Aby zapoznać się z bogatą składnią reguł językowych, spójrz na zapora sieciowa. bogaty język(5).
Opcje do Handle Wiązania of interfejsy
Powiązanie interfejsu ze strefą oznacza, że te ustawienia strefy służą do ograniczania ruchu
za pośrednictwem interfejsu.
Opcje w tej sekcji mają wpływ tylko na jedną konkretną strefę. Jeśli używany z --strefa=strefa opcja,
wpływają na strefę strefa. Pominięcie opcji wpływa na strefę domyślną (zob
--get-default-zone).
Aby uzyskać listę wstępnie zdefiniowanych stref, użyj firewall-cmd --get-strefy.
Nazwa interfejsu to ciąg znaków o długości do 16 znaków, który nie może zawierać ' ', „/”, '!'
i '*'.
[--strefa=strefa] --list-interfejsy
Wyświetl listę interfejsów powiązanych ze strefą strefa jako lista oddzielona spacjami. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna.
[--strefa=strefa] --add-interfejs=Interfejs
Interfejs wiązania Interfejs do strefy strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
[--strefa=strefa] --zmień interfejs=Interfejs
Zmień strefę interfejsu Interfejs jest związany ze strefą strefa. W przypadku pominięcia strefy
używana będzie strefa domyślna. Jeśli stara i nowa strefa są takie same, wywołanie zostanie zignorowane
bez błędu. Jeśli interfejs nie był wcześniej powiązany ze strefą, będzie się zachowywał
lubić --add-interfejs.
[--strefa=strefa] --interfejs-zapytania=Interfejs
Zapytanie, czy interfejs Interfejs jest związany ze strefą strefa. Zwraca 0, jeśli jest prawdziwe, 1
Inaczej.
[--strefa=strefa] --remove-interfejs=Interfejs
Usuń powiązanie interfejsu Interfejs ze strefy strefa. Jeśli strefa jest pominięta, strefa domyślna
będzie użyty.
Opcje do Handle Wiązania of Źródła
Powiązanie źródła ze strefą oznacza, że te ustawienia strefy będą używane do ograniczania ruchu
z tego źródła.
Adres źródłowy lub zakres adresów to adres IP lub sieciowy adres IP z rozszerzeniem
maska dla IPv4 lub IPv6 lub adres MAC (bez maski). W przypadku protokołu IPv4 maską może być maska sieci
lub zwykły numer. W przypadku protokołu IPv6 maska jest zwykłą liczbą. Użycie nazw hostów nie jest
utrzymany.
Opcje w tej sekcji mają wpływ tylko na jedną konkretną strefę. Jeśli używany z --strefa=strefa opcja,
wpływają na strefę strefa. Pominięcie opcji wpływa na strefę domyślną (zob
--get-default-zone).
Aby uzyskać listę wstępnie zdefiniowanych stref, użyj firewall-cmd --get-strefy.
[--strefa=strefa] --list-źródła
Wyświetl listę źródeł powiązanych ze strefą strefa jako lista oddzielona spacjami. Jeśli strefa jest
pominięty, zostanie użyta strefa domyślna.
[--strefa=strefa] --dodaj-źródło=źródło[/maska]
Powiąż źródło źródło[/maska] do strefy strefa. Jeśli strefa zostanie pominięta, zostanie użyta strefa domyślna.
[--strefa=strefa] --zmień-źródło=źródło[/maska]
Zmień strefę źródła źródło[/maska] jest powiązany ze strefą strefa. W przypadku pominięcia strefy
używana będzie strefa domyślna. Jeśli stara i nowa strefa są takie same, wywołanie zostanie zignorowane
bez błędu. Jeśli źródło nie było wcześniej powiązane ze strefą, będzie się zachowywać
lubić --dodaj-źródło.
[--strefa=strefa] --źródło-zapytań=źródło[/maska]
Zapytaj, czy źródło źródło[/maska] jest powiązany ze strefą strefa. Zwraca 0, jeśli jest prawdziwe, 1
Inaczej.
[--strefa=strefa] --usuń-źródło=źródło[/maska]
Usuń powiązanie źródła źródło[/maska] ze strefy strefa. Jeśli strefa jest pominięta, domyślnie
strefa będzie używana.
ISet Opcje
--nowy-ipset=ipset --rodzaj=ipset rodzaj [--opcja=ipset opcja[=wartość]]
Dodaj nowy stały ipset z określeniem typu i opcji opcjonalnych.
--usuń-ipset=ipset
Usuń istniejący stały ipset.
--info-ipset=ipset
Wydrukuj informacje o ipset ipset. Format wyjściowy to:
ipset
rodzaj: rodzaj
opcje: opcja1[=wartość1] ..
wpisy: wpis1 ..
--get-ipsets
Drukuj predefiniowane zestawy ipset jako listę oddzieloną spacjami.
--ipset=ipset --add-wpis=wejście
Dodaj nowy wpis do ipset.
--ipset=ipset --usuń wpis=wejście
Usuń wpis z iset.
--ipset=ipset --zapytanie-wpis=wejście
Zwróć, czy wpis został dodany do ipset. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
--ipset=ipset --pobierz-wpisy
Wyświetl listę wszystkich wpisów pliku iset.
Usługi Opcje
--usługa-informacyjna=usługa
Wydrukuj informacje o usłudze usługa. Format wyjściowy to:
usługa
porty: port1 ..
protokoły: protokół1 ..
moduły: moduł 1 ..
miejsce docelowe: Ipv1:adres 1 ..
--nowa-usługa=usługa
Dodaj nową stałą usługę.
--usuń-usługę=usługa
Usuń istniejącą stałą usługę.
--usługa=usługa --dodaj-port=portier[-portier]/protokół
Dodaj nowy port do usługi stałej.
--usługa=usługa --remove-portu=portier[-portier]/protokół
Usuń port ze stałej usługi.
--usługa=usługa --Query-port=portier[-portier]/protokół
Powrót czy port został dodany do stałej obsługi.
--usługa=usługa --get-porty
Lista portów dodanych do stałej usługi.
--usługa=usługa --add-protokół=protokół
Dodaj nowy protokół do usługi stałej.
--usługa=usługa --remove-protokół=protokół
Usuń protokół z serwisu stałego.
--usługa=usługa --protokół zapytania=protokół
Zwrot jeżeli protokół został dodany do serwisu stałego.
--usługa=usługa --get-protokoły
Lista protokołów dodanych do usługi stałej.
--usługa=usługa --dodaj-moduł=moduł
Dodaj nowy moduł do usługi stałej.
--usługa=usługa --remove-moduł=moduł
Usuń moduł ze stałego serwisu.
--usługa=usługa --moduł-zapytań=moduł
Zwróć jeśli moduł został dodany do serwisu stałego.
--usługa=usługa --get-modules
Lista modułów dodanych do stałej usługi.
--usługa=usługa --add-miejsce docelowe=ipv:adres[/maska]
Ustaw miejsce docelowe dla ipv na adres[/mask] w stałej usłudze.
--usługa=usługa --remove-miejsce docelowe=ipv
Usuń miejsce docelowe dla ipv ze stałej usługi.
--usługa=usługa --miejsce-zapytania=ipv:adres[/maska]
Zwróć, czy docelowy adres IP na adres[/mask] został ustawiony na stałe
service.
--usługa=usługa --get-miejsca docelowe
Lista miejsc docelowych dodanych do stałej usługi.
Internet Control Wiadomość Protokół (ICMP) rodzaj Opcje
--info-icmptype=typ_icmp
Wydrukuj informacje o typie icmp typ_icmp. Format wyjściowy to:
typ_icmp
miejsce docelowe: Ipv1 ..
--nowy-icmptype=typ_icmp
Dodaj nowy stały typ icmp.
--usuń typ-icmp=typ_icmp
Usuń istniejący stały typ icmp.
--icmptyp=typ_icmp --add-miejsce docelowe=ipv
Włącz miejsce docelowe dla ipv w stałym typie icmp. ipv jest jednym z Ipv4 or Ipv6.
--icmptyp=typ_icmp --remove-miejsce docelowe=ipv
Wyłącz miejsce docelowe dla ipv w stałym typie icmp. ipv jest jednym z Ipv4 or Ipv6.
--icmptyp=typ_icmp --miejsce-zapytania=ipv
Zwróć, czy miejsce docelowe dla ipv jest włączone na stałe w icmptype. ipv jest jednym z
Ipv4 or Ipv6.
--icmptyp=typ_icmp --get-miejsca docelowe
Lista miejsc docelowych w stałym typie icmp.
Skierować Opcje
Opcje bezpośrednie zapewniają bardziej bezpośredni dostęp do zapory. Te opcje wymagają użytkownika
znać podstawowe pojęcia związane z iptables, tj stół (filtr/maglownica/nat/...), łańcuch
(WEJŚCIE/WYJŚCIE/DO PRZODU/...), Polecenia (-A/-D/-I/...), parametry (-p/-s/-d/-j/...) i
cele (AKCEPTUJĘ/ODPUSZCZAM/ODRZUCAM/...).
Opcje bezpośrednie powinny być używane tylko w ostateczności, gdy nie można ich użyć
przykład --dodaj usługę=usługa or --add-bogata-reguła='rządzić'.
Pierwszym argumentem każdej opcji musi być Ipv4 or Ipv6 or eb. Z Ipv4 będzie dla
IPv4 (iptables(8)), z Ipv6 dla IPv6 (ip6tables(8)) i z eb dla mostków ethernetowych
(ebtables(8)).
--bezpośredni --pobierz-wszystkie-łańcuchy
Dodaj wszystkie łańcuchy do wszystkich tabel.
Ta opcja dotyczy tylko łańcuchów dodanych wcześniej za pomocą --bezpośredni --dodaj łańcuch.
--bezpośredni --get-łańcuchy { Ipv4 | Ipv6 | eb } stół
Dodaj wszystkie łańcuchy do tabeli stół jako lista oddzielona spacjami.
Ta opcja dotyczy tylko łańcuchów dodanych wcześniej za pomocą --bezpośredni --dodaj łańcuch.
--bezpośredni --dodaj łańcuch { Ipv4 | Ipv6 | eb } stół łańcuch
Dodaj nowy łańcuch z nazwą łańcuch do stołu stół.
Istnieją już podstawowe łańcuchy, których można użyć na przykład z opcjami bezpośrednimi WEJŚCIE_bezpośrednie
łańcuch (zob iptables-zapisz | grep kierować wyjście dla wszystkich). Te łańcuchy są
wskoczył do łańcuchów przed strefami, czyli każdą wprowadzoną regułą WEJŚCIE_bezpośrednie będzie
sprawdzone przed regułami w strefach.
--bezpośredni --usuń-łańcuch { Ipv4 | Ipv6 | eb } stół łańcuch
Zdejmij łańcuszek z imieniem łańcuch ze stołu stół.
--bezpośredni --łańcuch-zapytań { Ipv4 | Ipv6 | eb } stół łańcuch
Zwróć, czy łańcuch z nazwą łańcuch istnieje w tabeli stół. Zwraca 0, jeśli jest prawdziwe, 1
Inaczej.
Ta opcja dotyczy tylko łańcuchów dodanych wcześniej za pomocą --bezpośredni --dodaj łańcuch.
--bezpośredni --pobierz-wszystkie-reguły
Pobierz wszystkie reguły dodane do wszystkich łańcuchów we wszystkich tabelach jako listę oddzielonych znakami nowej linii
Priorytet i argumenty.
--bezpośredni --pobierz-reguły { Ipv4 | Ipv6 | eb } stół łańcuch
Dodaj wszystkie reguły do łańcucha łańcuch w tabeli stół jako listę oddzielonych znakami nowej linii
Priorytet i argumenty.
--bezpośredni --dodaj regułę { Ipv4 | Ipv6 | eb } stół łańcuch priorytet args
Dodaj regułę z argumentami args łańcuch łańcuch w tabeli stół z priorytetem
priorytet.
Połączenia priorytet służy do porządkowania reguł. Priorytet 0 oznacza dodanie reguły na szczycie łańcucha,
przy wyższym priorytecie reguła zostanie dodana niżej. Zasady z tym samym
pierwszeństwa są na tym samym poziomie, a kolejność tych zasad nie jest ustalona i może
zmiana. Jeśli chcesz mieć pewność, że reguła zostanie dodana po innej, użyj a
niski priorytet dla pierwszego i wyższy dla następnych.
--bezpośredni --remove-reguła { Ipv4 | Ipv6 | eb } stół łańcuch priorytet args
Usuń regułę za pomocą priorytet i argumenty args z łańcucha łańcuch w tabeli stół.
--bezpośredni --remove-reguły { Ipv4 | Ipv6 | eb } stół łańcuch
Usuń wszystkie reguły w łańcuchu o nazwie łańcuch istnieje w tabeli stół.
Ta opcja dotyczy tylko reguł dodanych wcześniej za pomocą --bezpośredni --dodaj regułę w tym
łańcuch.
--bezpośredni --reguła-zapytania { Ipv4 | Ipv6 | eb } stół łańcuch priorytet args
Zwróć, czy reguła z priorytet i argumenty args istnieje w łańcuchu łańcuch in
stół stół. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
--bezpośredni --get-all-passthroughs
Uzyskaj wszystkie stałe przejścia jako oddzieloną nową linią listę wartości ipv i
argumenty.
--bezpośredni --get-przejścia { Ipv4 | Ipv6 | eb }
Uzyskaj wszystkie stałe reguły przekazywania dla wartości ipv jako listę oddzielonych znakami nowej linii
priorytet i argumenty.
--bezpośredni --dodaj-przejście { Ipv4 | Ipv6 | eb } args
Dodaj stałą regułę przekazywania z argumentami args dla wartości ipv.
--bezpośredni --remove-przejściówka { Ipv4 | Ipv6 | eb } args
Usuń stałą regułę przekazywania z argumentami args dla wartości ipv.
--bezpośredni --przekazywanie-zapytania { Ipv4 | Ipv6 | eb } args
Zwróć, czy jest to stała reguła przekazywania z argumentami args istnieje dla ipv
wartość. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
Lockdown Opcje
Lokalne aplikacje lub usługi mogą zmienić konfigurację zapory, jeśli tak jest
uruchomione jako root (przykład: libvirt) lub uwierzytelnione przy użyciu PolicyKit. Z tą funkcją
administratorzy mogą zablokować konfigurację zapory, tak aby blokowane były tylko aplikacje
białej listy mogą żądać zmian w zaporze.
Kontrola dostępu do blokady ogranicza metody D-Bus, które zmieniają reguły zapory. Zapytanie,
metody list i get nie są ograniczone.
Funkcja blokady to bardzo uproszczona wersja polityki użytkownika i aplikacji
firewalld i jest domyślnie wyłączona.
--blokada-włączona
Włącz blokadę. Bądź ostrożny - jeśli firewall-cmd nie znajduje się na białej liście blokad, kiedy ty
enable lockdown, nie będziesz mógł go ponownie wyłączyć za pomocą firewall-cmd, tak
trzeba edytować firewalld.conf.
--blokada-wyłączona
Wyłącz blokadę.
--blokada-zapytania
Zapytaj, czy blokada jest włączona. Zwraca 0, jeśli blokada jest włączona, 1 w przeciwnym razie.
Lockdown Whitelist Opcje
Biała lista blokady może zawierać Polecenia, konteksty, Użytkownicy i użytkownik ids.
Jeśli pozycja polecenia na białej liście kończy się gwiazdką „*”, oznacza to, że wszystkie wiersze poleceń
począwszy od polecenia będzie pasować. Jeśli nie ma „*”, polecenie absolutne
argumenty włączające muszą być zgodne.
Polecenia dla użytkownika root i innych nie zawsze są takie same. Przykład: Jako root
/bin/firewall-cmd jest używany jako zwykły użytkownik /usr/bin/firewall-cmd jest używany w Fedorze.
Kontekst to kontekst bezpieczeństwa (SELinux) uruchomionej aplikacji lub usługi. dostać
kontekst użycia uruchomionej aplikacji ps -e --kontekst.
Ostrzeżenie: Jeśli kontekst jest nieograniczony, otworzy to dostęp dla więcej niż
żądanej aplikacji.
Wpisy na białej liście blokady są sprawdzane w następującej kolejności:
1. kontekst
2. uid
3. użytkownik
4. komenda
--list-lockdown-biała lista-polecenia
Wyświetl listę wszystkich wierszy poleceń, które znajdują się na białej liście.
--add-lockdown-whitelist-polecenie=komenda
Dodaj komenda do białej listy.
--remove-lockdown-whitelist-polecenie=komenda
Usunąć komenda z białej listy.
--query-lockdown-polecenie-białej listy=komenda
Zapytaj czy komenda jest na białej liście. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
--lista-blokada-biała lista-konteksty
Wymień wszystkie konteksty, które znajdują się na białej liście.
--add-lockdown-whitelist-context=kontekst
Dodaj kontekst kontekst do białej listy.
--usuń-blokadę-białej listy-kontekst=kontekst
Usunąć kontekst z białej listy.
--query-lockdown-whitelist-context=kontekst
Zapytaj czy kontekst jest na białej liście. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
--list-lockdown-whitelist-uids
Wyświetl listę wszystkich identyfikatorów użytkowników znajdujących się na białej liście.
--add-lockdown-whitelist-uid=uid
Dodaj identyfikator użytkownika uid do białej listy.
--usuń-uid-blokady-białej listy=uid
Usuń identyfikator użytkownika uid z białej listy.
--query-lockdown-whitelist-uid=uid
Zapytanie, czy identyfikator użytkownika uid jest na białej liście. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
--lista-blokada-biała lista-użytkowników
Wyświetl listę wszystkich nazw użytkowników znajdujących się na białej liście.
--add-lockdown-whitelist-user=użytkownik
Dodaj nazwę użytkownika użytkownik do białej listy.
--usuń-blokującego-białą listę-użytkownika=użytkownik
Usuń nazwę użytkownika użytkownik z białej listy.
--query-lockdown-whitelist-user=użytkownik
Zapytanie, czy nazwa użytkownika użytkownik jest na białej liście. Zwraca 0, jeśli jest prawdziwe, 1 w przeciwnym razie.
Polityka Opcje
--polityka-serwer
Zmień akcje Polkit na „serwer” (bardziej ograniczone)
--polityka-desktop
Zmień akcje Polkit na „desktop” (mniej ograniczone)
Użyj firewall-offline-cmd online, korzystając z usług onworks.net
