Это команда firewall-cmd, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
firewall-cmd - клиент командной строки firewalld
СИНТАКСИС
брандмауэр-CMD [ПАРАМЕТРЫ...]
ОПИСАНИЕ
firewall-cmd - это клиент командной строки демона firewalld. Он предоставляет интерфейс для
управлять временем выполнения и постоянной конфигурацией.
Конфигурация времени выполнения в firewalld отделена от постоянной конфигурации. Этот
означает, что все может быть изменено во время выполнения или в постоянной конфигурации.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
Поддерживаются следующие варианты:
Общие Опции
-h, --Помогите
Печать краткого справочного текста и выход.
-V, --версия
Вывести строку версии firewalld. Этот вариант нельзя комбинировать с другими
настройки.
-q, --тихий
Не печатать сообщения о состоянии.
Статус: Опции
--штат
Проверьте, активен ли демон firewalld (т. Е. Запущен). Возвращает код выхода 0, если
он активен, НЕ БЕГАТЬ в противном случае (см. раздел «КОДЫ ВЫХОДА»). Это будет
также распечатать состояние в стандартный вывод.
- перезагрузить
Перезагрузите правила брандмауэра и сохраните информацию о состоянии. Текущая постоянная конфигурация будет
стать новой конфигурацией среды выполнения, т.е. все изменения только среды выполнения, сделанные до перезагрузки, будут
потеряны при перезагрузке, если они не были также в постоянной конфигурации.
--полная перезагрузка
Полностью перезагрузите брандмауэр, даже модули ядра netfilter. Это, скорее всего,
разорвать активные соединения, потому что информация о состоянии потеряна. Этот вариант должен
использовать только в случае серьезных проблем с брандмауэром. Например, если есть состояние
информационные проблемы, что невозможно установить соединение с правильным брандмауэром
правила.
- постоянное время работы
Сохраните активную конфигурацию среды выполнения и перезапишите ею постоянную конфигурацию. В
способ, которым это должно работать, заключается в том, что при настройке firewalld вы вносите изменения во время выполнения
только и как только вы будете довольны конфигурацией и проверите, что она работает должным образом
хотите, сохраните конфигурацию на диск.
--get-log-отказано
Распечатать журнал отклоненных настроек.
--set-log-запрещено=ценностное
Добавьте правила ведения журнала прямо перед правилом отклонения и отбрасывания в INPUT, FORWARD и OUTPUT
цепочки для правил по умолчанию, а также окончательные правила отклонения и отбрасывания в зонах для
сконфигурированный тип пакета канального уровня. Возможные значения: Найти, одноадресный, вещания,
многоадресной и от. По умолчанию установлено от, что отключает ведение журнала.
Это постоянное изменение во время выполнения, которое также перезагрузит брандмауэр, чтобы иметь возможность
добавить правила ведения журнала.
Permanent Опции
--постоянный
Постоянный вариант --постоянный можно использовать для постоянной установки параметров. Эти изменения
не действуют сразу, только после перезапуска / перезагрузки службы или перезагрузки системы.
Без --постоянный вариант, изменение будет только частью среды выполнения
конфигурации.
Если вы хотите изменить время выполнения и постоянную конфигурацию, используйте тот же вызов
с и без --постоянный опцию.
Ассоциация --постоянный опцию можно при желании добавить ко всем опциям ниже, где она
поддерживается.
Область Опции
--get-default-zone
Распечатать зону по умолчанию для соединений и интерфейсов.
--set-зона по умолчанию=зона
Установите зону по умолчанию для подключений и интерфейсов, где не выбрана ни одна зона.
Установка зоны по умолчанию изменяет зону для подключений или интерфейсов, которые
используя зону по умолчанию.
Это постоянное и постоянное изменение.
--get-активные-зоны
Распечатать активные в данный момент зоны вместе с интерфейсами и источниками, используемыми в этих
зоны. Активные зоны - это зоны, которые имеют привязку к интерфейсу или источнику. В
выходной формат:
zone1
интерфейсы: интерфейс1 интерфейс2 ..
Источники: source1 ..
zone2
интерфейсы: интерфейс3 ..
zone3
Источники: source2 ..
Если к зоне не привязаны интерфейсы или источники, соответствующая строка будет
опускаться.
[--постоянный] --get-зоны
Распечатайте предварительно определенные зоны в виде списка, разделенного пробелами.
[--постоянный] --получить-услуги
Распечатайте предварительно определенные службы в виде списка, разделенного пробелами.
[--постоянный] --get-icmptypes
Вывести предопределенные типы icmptypes в виде списка, разделенного пробелами.
[--постоянный] --get-зона-интерфейса=интерфейс
Выведите название зоны интерфейс привязан к или нет зона.
[--постоянный] --get-зона-источника=источник[/маска]
Выведите название зоны источник[/маска] привязан к или нет зона.
[--постоянный] --info-zone =зона
Распечатать информацию о зоне зона. Формат вывода:
зона
интерфейсы: интерфейс1 ..
Источники: source1 ..
услуги: service1 ..
порты: port1 ..
протоколы: протокол1 ..
вперед-порты:
форвард-порт1
..
ICMP-блоки: ICMP-тип1 ..
богатые правила:
богатое правило1
..
[--постоянный] --list-все-зоны
Перечислите все, что добавлено или включено во всех зонах. Формат вывода:
zone1
интерфейсы: интерфейс1 ..
Источники: source1 ..
услуги: service1 ..
порты: port1 ..
протоколы: протокол1 ..
вперед-порты:
форвард-порт1
..
ICMP-блоки: ICMP-тип1 ..
богатые правила:
богатое правило1
..
..
--постоянный --новая зона=зона
Добавьте новую постоянную зону.
--постоянный --delete-зона=зона
Удалить существующую постоянную зону.
--постоянный [--зона=зона] --получить цель
Получите цель постоянной зоны.
--постоянный [--зона=зона] --set-цель=цель
Установите цель постоянной зоны. цель один из: по умолчанию, ПРИНЯТЬ, DROP, БРАК
Опции в Приспосабливать и запрос Зоны
Параметры в этом разделе влияют только на одну конкретную зону. Если используется с --зона=зона вариант,
они влияют на зону зона. Если опция не указана, они влияют на зону по умолчанию (см.
--get-default-zone).
[--постоянный] [--зона=зона] --список-все
Перечислить все, что было добавлено или включено в зона. Если зона не указана, зона по умолчанию будет
используемый.
[--постоянный] [--зона=зона] --list-услуги
Список услуг, добавленных для зона как список, разделенный пробелами. Если зона не указана, по умолчанию
зона будет использоваться.
[--постоянный] [--зона=зона] --добавить сервис=обслуживание [- тайм-аут=время]
Добавить услугу для зона. Если зона не указана, будет использоваться зона по умолчанию. Эта опция может
указывать несколько раз. Если задан тайм-аут, правило будет активно для
указанное количество времени и будет автоматически удален после этого. время is
либо число (секунд), либо число, за которым следует один из символов s (секунды), m
(минуты), h (часы), например 20m or 1h.
Сервис является одним из сервисов, предоставляемых firewalld. Чтобы получить список поддерживаемых
услуги, использование брандмауэр-CMD --получить-услуги.
Ассоциация - тайм-аут вариант не сочетается с --постоянный опцию.
[--постоянный] [--зона=зона] - удалить-сервис=обслуживание
Удалить услугу из зона. Этот параметр можно указывать несколько раз. Если зона
опущено, будет использоваться зона по умолчанию.
[--постоянный] [--зона=зона] --запрос-сервис=обслуживание
Вернуть ли обслуживание был добавлен для зона. Если зона не указана, зона по умолчанию будет
использоваться. Возвращает 0, если истина, в противном случае - 1.
[--постоянный] [--зона=зона] --list-порты
Список портов, добавленных для зона как список, разделенный пробелами. Порт имеет форму
портид[-портид]/протокол, это может быть либо пара порта и протокола, либо диапазон портов.
с протоколом. Если зона не указана, будет использоваться зона по умолчанию.
[--постоянный] [--зона=зона] --добавить порт=портид[-портид]/протокол [- тайм-аут=время]
Добавьте порт для зона. Если зона не указана, будет использоваться зона по умолчанию. Эта опция может
указывать несколько раз. Если задан тайм-аут, правило будет активно для
указанное количество времени и будет автоматически удален после этого. время is
либо число (секунд), либо число, за которым следует один из символов s (секунды), m
(минуты), h (часы), например 20m or 1h.
Порт может быть либо одним номером порта, либо диапазоном портов. портид-портид,
протокол может быть TCP or UDP.
Ассоциация - тайм-аут вариант не сочетается с --постоянный опцию.
[--постоянный] [--зона=зона] --remove-порт=портид[-портид]/протокол
Удалите порт из зона. Если зона не указана, будет использоваться зона по умолчанию. Этот вариант
можно указывать несколько раз.
[--постоянный] [--зона=зона] --запрос-порт=портид[-портид]/протокол
Вернуть, был ли добавлен порт для зона. Если зона не указана, зона по умолчанию будет
использоваться. Возвращает 0, если истина, в противном случае - 1.
[--постоянный] [--зона=зона] --list-протоколы
Список протоколов, добавленных для зона как список, разделенный пробелами. Если зона не указана, по умолчанию
зона будет использоваться.
[--постоянный] [--зона=зона] --add-протокол=протокол [- тайм-аут=время]
Добавьте протокол для зона. Если зона не указана, будет использоваться зона по умолчанию. Этот вариант
можно указывать несколько раз. Если задан тайм-аут, правило будет активно в течение
указанное количество времени и будет автоматически удален после этого. время is
либо число (секунд), либо число, за которым следует один из символов s (секунды), m
(минуты), h (часы), например 20m or 1h.
Протокол может быть любым протоколом, поддерживаемым системой. Пожалуйста, посмотрите на
/ и т.д. / протоколы для поддерживаемых протоколов.
Ассоциация - тайм-аут вариант не сочетается с --постоянный опцию.
[--постоянный] [--зона=зона] --remove-протокол=протокол
Удалить протокол из зона. Если зона не указана, будет использоваться зона по умолчанию. Этот
параметр можно указывать несколько раз.
[--постоянный] [--зона=зона] --запрос-протокол=протокол
Вернуть, был ли добавлен протокол для зона. Если зона опущена, зона по умолчанию
будет использоваться. Возвращает 0, если истина, в противном случае - 1.
[--постоянный] [--зона=зона] --list-icmp-блоки
Список блоков типа протокола управляющих сообщений Интернета (ICMP), добавленных для зона как пространство
разделенный список. Если зона не указана, будет использоваться зона по умолчанию.
[--постоянный] [--зона=зона] --добавить icmp-блок=тип ICMP [- тайм-аут=время]
Добавьте блок ICMP для тип ICMP для зона. Если зона не указана, зона по умолчанию будет
использовал. Этот параметр можно указывать несколько раз. Если задан тайм-аут, правило
будет активен в течение указанного времени и будет удален автоматически
в конце. время либо число (секунд), либо число, за которым следует одно из
символы s (секунды), m (минуты), h (часы), например 20m or 1h.
Ассоциация тип ICMP является одним из типов icmp, поддерживаемых firewalld. Чтобы получить список
поддерживаемые типы icmp: брандмауэр-CMD --get-icmptypes
Ассоциация - тайм-аут вариант не сочетается с --постоянный опцию.
[--постоянный] [--зона=зона] --remove-icmp-блок=тип ICMP
Удалите блок ICMP для тип ICMP от зона. Если зона не указана, зона по умолчанию будет
использовал. Этот параметр можно указывать несколько раз.
[--постоянный] [--зона=зона] --query-icmp-блок=тип ICMP
Вернуть, есть ли блок ICMP для тип ICMP был добавлен для зона. Если зона не указана,
будет использоваться зона по умолчанию. Возвращает 0, если истина, в противном случае - 1.
[--постоянный] [--зона=зона] --list-forward-ports
Список IPv4 прямые порты добавлены для зона как список, разделенный пробелами. Если зона не указана,
будет использоваться зона по умолчанию.
Что касается IPv6 переадресация портов, пожалуйста, используйте расширенный язык.
[--постоянный] [--зона=зона]
--добавить-вперед-порт= порт =портид[-портид]: proto =протокол[: toport =портид[-портид]] [: toaddr =адрес[/маска]]
[- тайм-аут=время]
Добавьте IPv4 переадресация порта для зона. Если зона не указана, будет использоваться зона по умолчанию.
Этот параметр можно указывать несколько раз. Если задан тайм-аут, правило будет
быть активным в течение указанного времени и будет удалено автоматически
в конце. время либо число (секунд), либо число, за которым следует одно из
символы s (секунды), m (минуты), h (часы), например 20m or 1h.
Порт может быть одним номером порта. портид или диапазон портов портид-портид,
протокол может быть TCP or UDP. Адрес назначения - это простой IP-адрес.
Ассоциация - тайм-аут вариант не сочетается с --постоянный опцию.
Что касается IPv6 переадресация портов, пожалуйста, используйте расширенный язык.
[--постоянный] [--зона=зона]
--удалить-вперед-порт= порт =портид[-портид]: proto =протокол[: toport =портид[-портид]] [: toaddr =адрес[/маска]]
Удалить IPv4 переадресовать порт от зона. Если зона не указана, будет использоваться зона по умолчанию.
Этот параметр можно указывать несколько раз.
Что касается IPv6 переадресация портов, пожалуйста, используйте расширенный язык.
[--постоянный] [--зона=зона]
--запрос-вперед-порт= порт =портид[-портид]: proto =протокол[: toport =портид[-портид]] [: toaddr =адрес[/маска]]
Вернуть ли IPv4 добавлен порт пересылки для зона. Если зона не указана,
будет использоваться зона по умолчанию. Возвращает 0, если истина, в противном случае - 1.
Что касается IPv6 переадресация портов, пожалуйста, используйте расширенный язык.
[--постоянный] [--зона=зона] --добавить маскарад [- тайм-аут=время]
Включите IPv4 маскарад для зона. Если зона не указана, будет использоваться зона по умолчанию. Если
задан тайм-аут, маскировка будет активна в течение указанного времени.
время это либо число (в секундах), либо число, за которым следует один из символов s
(секунды), m (минуты), h (часы), например 20m or 1h. Маскарадинг полезен, если
машина является маршрутизатором, а машины подключены через интерфейс в другой зоне
должен иметь возможность использовать первое соединение.
Ассоциация - тайм-аут вариант не сочетается с --постоянный опцию.
Что касается IPv6 маскировка, пожалуйста, используйте богатый язык.
[--постоянный] [--зона=зона] --удаление-маскарад
Отключить IPv4 маскарад для зона. Если зона не указана, будет использоваться зона по умолчанию. Если
маскарадинг был включен с таймаутом, он также будет отключен.
Что касается IPv6 маскировка, пожалуйста, используйте богатый язык.
[--постоянный] [--зона=зона] --запрос-маскарад
Вернуть ли IPv4 маскировка была включена для зона. Если зона не указана,
будет использоваться зона по умолчанию. Возвращает 0, если истина, в противном случае - 1.
Что касается IPv6 маскировка, пожалуйста, используйте богатый язык.
[--постоянный] [--зона=зона] --list-богатые-правила
Перечислить правила расширенного языка, добавленные для зона как список, разделенный новой строкой. Если зона
опущено, будет использоваться зона по умолчанию.
[--постоянный] [--зона=зона] --add-rich-правило='править'[- тайм-аут=время]
Добавить правило расширенного языка 'править' за зона. Этот параметр можно указывать несколько раз.
Если зона не указана, будет использоваться зона по умолчанию. Если установлен тайм-аут, править будете
быть активным в течение указанного времени и будет удалено автоматически
в конце. время либо число (секунд), либо число, за которым следует одно из
символы s (секунды), m (минуты), h (часы), например 20m or 1h.
Чтобы узнать о синтаксисе правил расширенного языка, ознакомьтесь с firewalld.richlanguage(5).
Ассоциация - тайм-аут вариант не сочетается с --постоянный опцию.
[--постоянный] [--зона=зона] --remove-rich-правило='править'
Удалить правило расширенного языка 'править' из зона. Этот параметр можно указать несколько
раз. Если зона не указана, будет использоваться зона по умолчанию.
Чтобы узнать о синтаксисе правил расширенного языка, ознакомьтесь с firewalld.richlanguage(5).
[--постоянный] [--зона=зона] --query-rich-правило='править'
Вернуть ли правило богатого языка 'править'добавлено для зона. Если зона
опущено, будет использоваться зона по умолчанию. Возвращает 0, если истина, в противном случае - 1.
Чтобы узнать о синтаксисе правил расширенного языка, ознакомьтесь с firewalld.richlanguage(5).
Опции в Обрабатывание Наручники of Интерфейсы
Привязка интерфейса к зоне означает, что настройки этой зоны используются для ограничения трафика.
через интерфейс.
Параметры в этом разделе влияют только на одну конкретную зону. Если используется с --зона=зона вариант,
они влияют на зону зона. Если опция не указана, они влияют на зону по умолчанию (см.
--get-default-zone).
Для списка предопределенных зон используйте брандмауэр-CMD --get-зоны.
Имя интерфейса - это строка длиной до 16 символов, которая не может содержать ' ', '/', '!'
и '*'.
[--постоянный] [--зона=зона] --list-интерфейсы
Список интерфейсов, привязанных к зоне зона как список, разделенный пробелами. Если зона
опущено, будет использоваться зона по умолчанию.
[--постоянный] [--зона=зона] --добавить-интерфейс=интерфейс
Привязать интерфейс интерфейс в зону зона. Если зона не указана, будет использоваться зона по умолчанию.
Как конечный пользователь, вам в большинстве случаев это не нужно, потому что NetworkManager (или устаревший
сетевой сервис) автоматически добавляет интерфейсы в зоны (согласно ЗОНА = вариант
из ifcfg-интерфейс файл) если NM_CONTROLLED = нет не установлен. Вы должны это делать, только если
нет / etc / sysconfig / network-scripts / ifcfg-интерфейс файл. Если есть такой файл
и вы добавляете интерфейс в зону с этим --добавить-интерфейс вариант, убедитесь, что зона
то же самое в обоих случаях, иначе поведение было бы неопределенным. Пожалуйста, также имейте
взгляните на firewalld(1) справочная страница в концепции раздел. Для постоянного объединения
интерфейса с зоной, см. также «Как установить или изменить зону для подключения?» в
firewalld.zones(5).
[--зона=зона] --change-интерфейс=интерфейс
Изменить зону интерфейса интерфейс привязан к зоне зона. Это в основном
--remove-интерфейс последующей --добавить-интерфейс. Если интерфейс не был привязан к
зона раньше, она ведет себя как --добавить-интерфейс. Если зона не указана, зона по умолчанию будет
использоваться.
[--постоянный] [--зона=зона] --запрос-интерфейс=интерфейс
Запросить ли интерфейс интерфейс привязан к зоне зона. Возвращает 0, если истина, 1
в противном случае.
[--постоянный] --remove-интерфейс=интерфейс
Убрать привязку интерфейса интерфейс из зоны, в которую он был ранее добавлен.
Опции в Обрабатывание Наручники of Источники
Привязка источника к зоне означает, что настройки этой зоны будут использоваться для ограничения трафика.
из этого источника.
Исходный адрес или диапазон адресов - это либо IP-адрес, либо сетевой IP-адрес с
маска для IPv4 или IPv6 или MAC-адрес (без маски). Для IPv4 маска может быть сетевой маской.
или простой номер. Для IPv6 маска представляет собой простое число. Использование имен хостов не
поддерживается.
Параметры в этом разделе влияют только на одну конкретную зону. Если используется с --зона=зона вариант,
они влияют на зону зона. Если опция не указана, они влияют на зону по умолчанию (см.
--get-default-zone).
Для списка предопределенных зон используйте брандмауэр-CMD [--постоянный] --get-зоны.
[--постоянный] [--зона=зона] --список-источников
Список источников, привязанных к зоне зона как список, разделенный пробелами. Если зона
опущено, будет использоваться зона по умолчанию.
[--постоянный] [--зона=зона] --добавить-источник=источник[/маска]
Источник привязки источник[/маска] в зону зона. Если зона не указана, будет использоваться зона по умолчанию.
[--зона=зона] --change-источник=источник[/маска]
Изменить зону источника источник[/маска] привязан к зоне зона. Это в основном
--удалить-источник последующей --добавить-источник. Если источник не был привязан к зоне
раньше он ведет себя как --добавить-источник. Если зона не указана, будет использоваться зона по умолчанию.
[--постоянный] [--зона=зона] - источник запроса=источник[/маска]
Спросите, есть ли у источника источник[/маска] привязан к зоне зона. Возвращает 0, если истина, 1
в противном случае.
[--постоянный] --удалить-источник=источник[/маска]
Удалить привязку источника источник[/маска] из зоны, в которую он был ранее добавлен.
IPSet Опции
--постоянный --new-ipset=ipset --тип=ipset напишите [--вариант=ipset вариант[=ценностное ]]
Добавьте новый постоянный ipset с указанием типа и дополнительных опций.
--постоянный --delete-ipset=ipset
Удалите существующий постоянный ipset.
[--постоянный] --info-ipset =ipset
Распечатать информацию о ipset ipset. Формат вывода:
ipset
Тип: напишите
опции: option1 [= значение1] ..
записей: запись1 ..
[--постоянный] --get-ipsets
Вывести предопределенные наборы IP-адресов в виде списка, разделенного пробелами.
[--постоянный] --ipset=ipset --добавить запись=запись
Добавьте новую запись в ipset.
[--постоянный] --ipset=ipset --remove-entry=запись
Удалите запись из ipset.
[--постоянный] --ipset=ipset --запрос-запись=запись
Вернуть, добавлена ли запись в ipset. Возвращает 0, если истина, в противном случае - 1.
[--постоянный] --ipset=ipset --get-записи
Список всех записей ipset.
Сервис Опции
Параметры в этом разделе влияют только на одну конкретную услугу.
[--постоянный] --info-service =обслуживание
Распечатать информацию об услуге обслуживание. Формат вывода:
обслуживание
порты: port1 ..
протоколы: протокол1 ..
модули: module1 ..
пункт назначения: ipv1:address1 ..
Следующие опции доступны только в постоянной конфигурации.
--постоянный --новая услуга=обслуживание
Добавить новую постоянную услугу.
--постоянный --удалить-сервис=обслуживание
Удалить существующую постоянную службу.
--постоянный --услуга=обслуживание --добавить порт=портид[-портид]/протокол
Добавьте новый порт в постоянную службу.
--постоянный --услуга=обслуживание --remove-порт=портид[-портид]/протокол
Удалите порт из постоянной службы.
--постоянный --услуга=обслуживание --запрос-порт=портид[-портид]/протокол
Возврат, если порт добавлен в постоянную службу.
--постоянный --услуга=обслуживание --get-порты
Перечислить порты, добавленные в постоянную службу.
--постоянный --услуга=обслуживание --add-протокол=протокол
Добавьте новый протокол в постоянную службу.
--постоянный --услуга=обслуживание --remove-протокол=протокол
Удалите протокол из постоянной службы.
--постоянный --услуга=обслуживание --запрос-протокол=протокол
Верните, если протокол был добавлен в постоянную службу.
--постоянный --услуга=обслуживание --get-протоколы
Список протоколов, добавленных в постоянную службу.
--постоянный --услуга=обслуживание --добавить-модуль=модуль
Добавить новый модуль в постоянный сервис.
--постоянный --услуга=обслуживание --удалить-модуль=модуль
Удалите модуль из постоянной службы.
--постоянный --услуга=обслуживание --query-модуль=модуль
Верните, если модуль был добавлен в постоянную службу.
--постоянный --услуга=обслуживание --get-модули
Список модулей, добавленных в постоянную службу.
--постоянный --услуга=обслуживание --добавить-пункт назначения=ИПВ:адрес[/маска]
Задайте для ipv адрес назначения [/ mask] в постоянной службе.
--постоянный --услуга=обслуживание --remove-назначение=ИПВ
Удалите место назначения для ipv из постоянной службы.
--постоянный --услуга=обслуживание --запрос-назначение=ИПВ:адрес[/маска]
Вернуть, если IPv назначения по адресу [/ mask] был установлен в постоянном
услуги.
--постоянный --услуга=обслуживание --get-направления
Список направлений, добавленных к постоянной услуге.
Интернет Control Сообщение протокол (ICMP) напишите Опции
Параметры в этом разделе влияют только на один конкретный icmptype.
[--постоянный] --info-icmptype =тип ICMP
Распечатать информацию об icmptype тип ICMP. Формат вывода:
тип ICMP
пункт назначения: ipv1 ..
Следующие опции доступны только в постоянной конфигурации.
--постоянный --new-icmptype=тип ICMP
Добавьте новый постоянный icmptype.
--постоянный --delete-icmptype=тип ICMP
Удалите существующий постоянный icmptype.
--постоянный --icmptype=тип ICMP --добавить-пункт назначения=ИПВ
Включите назначение для ipv в постоянном типе icmp. ipv является одним из ipv4 or ipv6.
--постоянный --icmptype=тип ICMP --remove-назначение=ИПВ
Отключить назначение для ipv в постоянном icmptype. ipv является одним из ipv4 or ipv6.
--постоянный --icmptype=тип ICMP --запрос-назначение=ИПВ
Вернуть, включен ли пункт назначения для ipv в постоянном типе icmp. ipv является одним из
ipv4 or ipv6.
--постоянный --icmptype=тип ICMP --get-направления
Перечислить направления в постоянном типе icmptype.
непосредственный Опции
Прямые параметры обеспечивают более прямой доступ к брандмауэру. Эти параметры требуют от пользователя
знать основные концепции iptables, т.е. ТАБЛИЦЫ (фильтр / кал / нат / ...), цепь
(ВХОД / ВЫХОД / ВПЕРЕД / ...), команды (-A / -D / -I / ...), параметры (-p / -s / -d / -j / ...) и
направлена против (ПРИНЯТЬ / ОТКАЗАТЬ / ОТКЛОНИТЬ / ...).
Прямые параметры следует использовать только в крайнем случае, когда их невозможно использовать для
пример --добавить сервис=обслуживание or --add-rich-правило='править'.
Первый аргумент каждой опции должен быть ipv4 or ipv6 or eb. С ipv4 это будет для
IPv4 (Iptables(8)), причем ipv6 для IPv6 (ip6tables(8)) и с eb для мостов Ethernet
(блюда(8 г.)).
[--постоянный] --непосредственный - get-all-chain
Добавить все цепочки ко всем таблицам. Эта опция касается только ранее добавленных цепочек.
--непосредственный --add-цепочка.
[--постоянный] --непосредственный --get-цепи { ipv4 | ipv6 | eb } ТАБЛИЦЫ
Добавить все цепочки в таблицу ТАБЛИЦЫ как список, разделенный пробелами. Этот вариант касается
только цепи, ранее добавленные с --непосредственный --add-цепочка.
[--постоянный] --непосредственный --add-цепочка { ipv4 | ipv6 | eb } ТАБЛИЦЫ цепь
Добавить новую цепочку с именем цепь к столу ТАБЛИЦЫ. Убедитесь, что нет другой цепочки с
это имя уже.
Уже существуют базовые цепочки для использования с прямыми опциями, например INPUT_direct
цепь (см. iptables-сохранить | GREP направлять вывод для всех). Эти цепи
прыгнул в перед цепями для зон, т.е. каждое правило, помещенное в INPUT_direct будет
проверял перед правилами в зонах.
[--постоянный] --непосредственный - удалить-цепь { ipv4 | ipv6 | eb } ТАБЛИЦЫ цепь
Удалить цепочку с именем цепь из таблицы ТАБЛИЦЫ. Только цепи, ранее добавленные с
--непосредственный --add-цепочка можно удалить таким образом.
[--постоянный] --непосредственный - запрос-цепочка { ipv4 | ipv6 | eb } ТАБЛИЦЫ цепь
Вернуть ли цепочку с именем цепь существует в таблице ТАБЛИЦЫ. Возвращает 0, если истина, 1
иначе. Эта опция касается только цепочек, ранее добавленных с --непосредственный
--add-цепочка.
[--постоянный] --непосредственный - получить все правила
Получить все правила, добавленные во все цепочки во всех таблицах, как список разделенных новой строкой
приоритет и аргументы. Эта опция касается только правил, ранее добавленных с --непосредственный
--добавить-правило.
[--постоянный] --непосредственный --получить-правила { ipv4 | ipv6 | eb } ТАБЛИЦЫ цепь
Добавить все правила в цепочку цепь в таблице ТАБЛИЦЫ как список разделенных новой строкой
приоритет и аргументы. Эта опция касается только правил, ранее добавленных с --непосредственный
--добавить-правило.
[--постоянный] --непосредственный --добавить-правило { ipv4 | ipv6 | eb } ТАБЛИЦЫ цепь приоритет арг
Добавить правило с аргументами арг цеплять цепь в таблице ТАБЛИЦЫ с приоритетом
приоритет.
Ассоциация приоритет используется для упорядочивания правил. Приоритет 0 означает добавление правила в начало цепочки,
с более высоким приоритетом правило будет добавлено ниже. Правила с такими же
приоритеты находятся на том же уровне, и порядок этих правил не фиксирован и может
изменение. Если вы хотите, чтобы правило добавлялось после другого, используйте
низкий приоритет для первого и более высокий для следующих.
[--постоянный] --непосредственный - удалить правило { ipv4 | ipv6 | eb } ТАБЛИЦЫ цепь приоритет арг
Удалить правило с помощью приоритет и аргументы арг из цепи цепь в таблице ТАБЛИЦЫ.
Только правила, ранее добавленные с помощью --непосредственный --добавить-правило можно удалить таким образом.
[--постоянный] --непосредственный --remove-правила { ipv4 | ipv6 | eb } ТАБЛИЦЫ цепь
Удалить все правила в цепочке с именем цепь существует в таблице ТАБЛИЦЫ. Этот вариант
касается только правил, ранее добавленных с --непосредственный --добавить-правило в этой цепочке.
[--постоянный] --непосредственный --запрос-правило { ipv4 | ipv6 | eb } ТАБЛИЦЫ цепь приоритет арг
Вернуть ли правило с приоритет и аргументы арг существует в цепочке цепь in
ТАБЛИЦЫ ТАБЛИЦЫ. Возвращает 0, если истина, в противном случае - 1. Этот вариант касается только правил
ранее добавлено с --непосредственный --добавить-правило.
--непосредственный --пройти через { ipv4 | ipv6 | eb } арг
Передайте команду брандмауэру. арг может быть все Iptables, ip6tables и
блюда аргументы командной строки. Эта команда не отслеживается, что означает, что firewalld
не может предоставить информацию об этой команде позже, а также не список
неотслеживаемые пассажи.
[--постоянный] --непосредственный - get-all-passthroughs
Получите все правила сквозной передачи в виде списка значений ipv и аргументов, разделенных новой строкой.
[--постоянный] --непосредственный --get-переходы { ipv4 | ipv6 | eb }
Получить все правила пересылки для значения ipv как список разделенных новой строкой
приоритет и аргументы.
[--постоянный] --непосредственный --add-переход { ipv4 | ipv6 | eb } арг
Добавьте правило сквозной передачи с аргументами арг для значения ipv.
[--постоянный] --непосредственный --remove-сквозной { ipv4 | ipv6 | eb } арг
Удалить правило сквозной передачи с аргументами арг для значения ipv.
[--постоянный] --непосредственный --query-passthrough { ipv4 | ipv6 | eb } арг
Возвращает ли правило сквозной передачи с аргументами арг существует для значения ipv.
Возвращает 0, если истина, в противном случае - 1.
Lockdown Опции
Локальные приложения или службы могут изменять конфигурацию брандмауэра, если они
запущены как root (пример: libvirt) или аутентифицированы с помощью PolicyKit. С этой функцией
администраторы могут заблокировать конфигурацию брандмауэра, чтобы только заблокированные приложения
белый список может запрашивать изменения брандмауэра.
Проверка доступа с ограничением доступа ограничивает методы D-Bus, которые изменяют правила брандмауэра. Запрос,
list и get не ограничены.
Функция блокировки - это очень облегченная версия политик пользователей и приложений для
firewalld и по умолчанию отключен.
- блокировка
Включите блокировку. Будьте осторожны - если firewall-cmd не находится в белом списке блокировки, когда вы
включить блокировку, вы не сможете снова отключить ее с помощью firewall-cmd, вы бы
нужно отредактировать firewalld.conf.
Это постоянное и постоянное изменение.
--lockdown-off
Отключить блокировку.
Это постоянное и постоянное изменение.
--query-блокировка
Запросить, включена ли блокировка. Возвращает 0, если блокировка включена, 1 в противном случае.
Lockdown Рассылка Новостей Опции
Белый список блокировки может содержать команды, контексты, пользователей и пользователь идентификаторы.
Если запись команды в белом списке заканчивается звездочкой '*', то все командные строки
начиная с команды будет соответствовать. Если '*' там нет, абсолютная команда
включающие аргументы должны совпадать.
Команды для пользователя root и других не всегда одинаковы. Пример: как root
/ бен / брандмауэр-cmd используется, как обычный пользователь / USR / bin / брандмауэр-cmd используется в Fedora.
Контекст - это контекст безопасности (SELinux) работающего приложения или службы. Получить
контекст использования запущенного приложения ps -e --контекст.
Внимание! Если контекст не ограничен, то это откроет доступ для большего, чем
желаемое приложение.
Записи в белом списке блокировки проверяются в следующем порядке:
1. контекст
2. UID
3. пользователь
4. команду
[--постоянный] --list-lockdown-whitelist-команды
Перечислите все командные строки, которые находятся в белом списке.
[--постоянный] --add-lockdown-whitelist-команда=команду
Добавьте команду в белый список.
[--постоянный] --remove-lockdown-whitelist-команда=команду
Удалить команду из белого списка.
[--постоянный] --query-lockdown-whitelist-команда=команду
Спросите, есть ли команду находится в белом списке. Возвращает 0, если истина, в противном случае - 1.
[--постоянный] --list-lockdown-белый список-контекстов
Перечислите все контексты, которые находятся в белом списке.
[--постоянный] --add-lockdown-whitelist-context=контекст
Добавить контекст контекст в белый список.
[--постоянный] --remove-lockdown-whitelist-context=контекст
Удалить контекст из белого списка.
[--постоянный] - запрос-блокировка-белый список-контекст=контекст
Спросите, есть ли контекст находится в белом списке. Возвращает 0, если истина, в противном случае - 1.
[--постоянный] --list-lockdown-whitelist-uids
Перечислите все идентификаторы пользователей, которые находятся в белом списке.
[--постоянный] --add-lockdown-whitelist-uid=UID
Добавьте идентификатор пользователя UID в белый список.
[--постоянный] --remove-lockdown-whitelist-uid=UID
Удалить идентификатор пользователя UID из белого списка.
[--постоянный] - запрос-блокировка-белый список-uid=UID
Запросить, есть ли идентификатор пользователя UID находится в белом списке. Возвращает 0, если истина, в противном случае - 1.
[--постоянный] --list-lockdown-whitelist-users
Перечислите все имена пользователей, которые находятся в белом списке.
[--постоянный] --add-lockdown-whitelist-пользователь=пользователь
Добавить имя пользователя пользователь в белый список.
[--постоянный] --remove-lockdown-белый список-пользователь=пользователь
Удалить имя пользователя пользователь из белого списка.
[--постоянный] - запрос-блокировка-белый список-пользователь=пользователь
Спросите, есть ли у пользователя пользователь находится в белом списке. Возвращает 0, если истина, в противном случае - 1.
Паника Опции
- паника
Включите режим паники. Все входящие и исходящие пакеты отбрасываются, активные соединения
истечет. Включите это, только если в вашей сети есть серьезные проблемы.
среда. Например, если компьютер взламывают.
Это изменение только во время выполнения.
- паника
Отключить режим паники. После отключения режима паники установленные соединения могут работать
опять же, если режим паники был включен на короткий период времени.
Это изменение только во время выполнения.
- запрос-паника
Возвращает 0, если включен режим паники, 1 в противном случае.
ПРИМЕРЫ
Дополнительные примеры см. http://fedoraproject.org/wiki/FirewallD
Пример 1
Включите службу http в зоне по умолчанию. Это изменение только во время выполнения, т.е. действует до
перезагрузить.
брандмауэр-cmd --add-service = http
Пример 2
Включите порт 443 / tcp немедленно и навсегда в зоне по умолчанию. Чтобы внести изменения
вступает в силу сразу, а также после перезапуска нам нужны две команды. Первая команда делает
изменение конфигурации среды выполнения, т.е. делает ее действующей немедленно, до перезапуска.
Вторая команда делает изменение постоянной конфигурации, т.е. делает его действующим.
после перезапуска.
брандмауэр-cmd --add-port = 443 / TCP
брандмауэр-cmd --permanent --add-port = 443 / tcp
ВЫХОД КОДЫ
В случае успеха возвращается 0. В случае сбоя выход окрашен в красный цвет, а код выхода - 2.
в случае неправильного использования параметра командной строки или одного из следующих кодов ошибки в другом
случаи:
┌───────────────────────────
│строка │ Code │
├───────────────────────────
│УЖЕ_ВКЛЮЧЕНО │ 11 │
├───────────────────────────
│НЕ ВКЛЮЧЕНО │ 12 │
├───────────────────────────
│COMMAND_FAILED │ 13 │
├───────────────────────────
│NO_IPV6_NAT │ 14 │
├───────────────────────────
│PANIC_MODE │ 15 │
├───────────────────────────
│ZONE_ALREADY_SET │ 16 │
├───────────────────────────
│НЕИЗВЕСТНЫЙ_ИНТЕРФЕЙС │ 17 │
├───────────────────────────
│ZONE_CONFLICT │ 18 │
├───────────────────────────
│BUILTIN_CHAIN │ 19 │
├───────────────────────────
│EBTABLES_NO_REJECT │ 20 │
├───────────────────────────
│НЕ_ПЕРЕГРУЗИМЫЙ │ 21 │
├───────────────────────────
│NO_DEFAULTS │ 22 │
├───────────────────────────
│BUILTIN_ZONE │ 23 │
├───────────────────────────
│ВСТРОЕННЫЙ_СЕРВИС │ 24 │
├───────────────────────────
│ВСТРОЕННЫЙ_ICMPTYPE │ 25 │
├───────────────────────────
│NAME_CONFLICT │ 26 │
├───────────────────────────
│NAME_MISMATCH │ 27 │
├───────────────────────────
│PARSE_ERROR │ 28 │
├───────────────────────────
│ДОСТУП_ОТКЛОНЕН │ 29 │
├───────────────────────────
│НЕИЗВЕСТНЫЙ_ИСТОЧНИК │ 30 │
├───────────────────────────
│RT_TO_PERM_FAILED │ 31 │
├───────────────────────────
│IPSET_WITH_TIMEOUT │ 32 │
├───────────────────────────
│ВСТРОЕННЫЙ_IPSET │ 33 │
├───────────────────────────
│ALREADY_SET │ 34 │
├───────────────────────────
│INVALID_ACTION │ 100 │
├───────────────────────────
│INVALID_SERVICE │ 101 │
├───────────────────────────
│INVALID_PORT │ 102 │
├───────────────────────────
│НЕВЕРНЫЙ_ПРОТОКОЛ │ 103 │
├───────────────────────────
│INVALID_INTERFACE │ 104 │
├───────────────────────────
│INVALID_ADDR │ 105 │
├───────────────────────────
│INVALID_FORWARD │ 106 │
├───────────────────────────
│INVALID_ICMPTYPE │ 107 │
├───────────────────────────
│INVALID_TABLE │ 108 │
├───────────────────────────
│INVALID_CHAIN │ 109 │
├───────────────────────────
│INVALID_TARGET │ 110 │
├───────────────────────────
│INVALID_IPV │ 111 │
├───────────────────────────
│INVALID_ZONE │ 112 │
├───────────────────────────
│INVALID_PROPERTY │ 113 │
├───────────────────────────
│INVALID_VALUE │ 114 │
├───────────────────────────
│INVALID_OBJECT │ 115 │
├───────────────────────────
│INVALID_NAME │ 116 │
├───────────────────────────
│INVALID_FILENAME │ 117 │
├───────────────────────────
│INVALID_DIRECTORY │ 118 │
├───────────────────────────
│INVALID_TYPE │ 119 │
├───────────────────────────
│INVALID_SETTING │ 120 │
├───────────────────────────
│INVALID_DESTINATION │ 121 │
├───────────────────────────
│INVALID_RULE │ 122 │
├───────────────────────────
│INVALID_LIMIT │ 123 │
├───────────────────────────
│INVALID_FAMILY │ 124 │
├───────────────────────────
│INVALID_LOG_LEVEL │ 125 │
├───────────────────────────
│INVALID_AUDIT_TYPE │ 126 │
├───────────────────────────
│INVALID_MARK │ 127 │
├───────────────────────────
│INVALID_CONTEXT │ 128 │
├───────────────────────────
│INVALID_COMMAND 129 руб.
├───────────────────────────
│INVALID_USER │ 130 │
├───────────────────────────
│INVALID_UID │ 131 │
├───────────────────────────
│INVALID_MODULE │ 132 │
├───────────────────────────
│INVALID_PASSTHROUGH │ 133 │
├───────────────────────────
│INVALID_MAC │ 134 │
├───────────────────────────
│INVALID_IPSET │ 135 │
├───────────────────────────
│INVALID_ENTRY │ 136 │
├───────────────────────────
│INVALID_OPTION │ 137 │
├───────────────────────────
│MISSING_TABLE │ 200 │
├───────────────────────────
│MISSING_CHAIN │ 201 │
├───────────────────────────
│MISSING_PORT │ 202 │
├───────────────────────────
│ОТСУТСТВУЕТ_ПРОТОКОЛ │ 203 │
├───────────────────────────
│MISSING_ADDR │ 204 │
├───────────────────────────
│MISSING_NAME │ 205 │
├───────────────────────────
│MISSING_SETTING │ 206 │
├───────────────────────────
│MISSING_FAMILY │ 207 │
├───────────────────────────
│НЕ_РАБОТАЕТ │ 252 │
├───────────────────────────
│НЕ АВТОРИЗОВАН │ 253 │
├───────────────────────────
│НЕИЗВЕСТНАЯ_ОШИБКА │ 254 │
└───────────────────────────
Используйте firewall-cmd онлайн с помощью сервисов onworks.net
