นี่คือคำสั่ง firewall-offline-cmd ที่สามารถทำงานในผู้ให้บริการโฮสติ้งฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
firewall-offline-cmd - ไคลเอนต์บรรทัดคำสั่ง firewalld ออฟไลน์
เรื่องย่อ
ไฟร์วอลล์ออฟไลน์ cmd [ตัวเลือก...]
DESCRIPTION
firewall-offline-cmd เป็นไคลเอนต์บรรทัดคำสั่งออฟไลน์ของ firewalld daemon มันควรจะ
ใช้เฉพาะเมื่อบริการไฟร์วอลล์ไม่ทำงาน เช่น การโยกย้ายจาก
system-config-firewall/lokkit หรือในสภาพแวดล้อมการติดตั้งเพื่อกำหนดการตั้งค่าไฟร์วอลล์
ด้วยคิกสตาร์ท
ตัวเลือก lokkit บางตัวไม่สามารถแปลงโดยอัตโนมัติสำหรับ firewalld ซึ่งจะส่งผลให้
ข้อผิดพลาดหรือข้อความเตือน เครื่องมือนี้พยายามแปลงให้มากที่สุด แต่ก็มี
ข้อจำกัด เช่น กฎที่กำหนดเอง โมดูล และการปลอมแปลง
ตรวจสอบการกำหนดค่าไฟร์วอลล์หลังจากใช้เครื่องมือนี้
OPTIONS
หากไม่มีตัวเลือกให้กำหนดค่าจาก /etc/sysconfig/system-config-ไฟร์วอลล์ จะ
อพยพ
รองรับตัวเลือกต่อไปนี้:
การช่วยเหลือ Options
-h, --ช่วยด้วย
พิมพ์ข้อความช่วยเหลือสั้นๆ และมีอยู่
Status Options
--เปิดใช้งาน
เปิดใช้งานไฟร์วอลล์ ตัวเลือกนี้เป็นตัวเลือกเริ่มต้นและจะเปิดใช้งานไฟร์วอลล์หาก
ไม่ได้เปิดใช้งานตราบใดที่ตัวเลือก --พิการ ไม่ได้รับ
--พิการ
ปิดใช้งานไฟร์วอลล์โดยปิดใช้งานบริการไฟร์วอลล์
โลกกิจ ความเข้ากันได้ Options
ตัวเลือกเหล่านี้เกือบจะเหมือนกับตัวเลือกของ โลกกิจ.
--เพิ่มโมดูล=โมดูล
ตัวเลือกนี้จะส่งผลให้เกิดข้อความเตือนและจะถูกละเว้น
การจัดการตัวช่วย netfilter ถูกรวมเข้ากับบริการอย่างสมบูรณ์ เพิ่มหรือ
การลบตัวช่วย netfilter นอกบริการจึงไม่จำเป็นอีกต่อไป สำหรับ
ข้อมูลเพิ่มเติมเกี่ยวกับการจัดการตัวช่วย netfilter ในการบริการ โปรดดูที่
firewalld.โซน(5)
--ลบโมดูล
ตัวเลือกนี้จะส่งผลให้เกิดข้อความเตือนและจะถูกละเว้น
การจัดการตัวช่วย netfilter ถูกรวมเข้ากับบริการอย่างสมบูรณ์ เพิ่มหรือ
การลบตัวช่วย netfilter นอกบริการจึงไม่จำเป็นอีกต่อไป สำหรับ
ข้อมูลเพิ่มเติมเกี่ยวกับการจัดการตัวช่วย netfilter ในการบริการ โปรดดูที่
firewalld.โซน(5)
--ลบ-บริการ=บริการ
ลบบริการออกจากโซนเริ่มต้น ตัวเลือกนี้สามารถระบุได้หลายครั้ง
บริการนี้เป็นหนึ่งในบริการที่ไฟร์วอลล์จัดให้ เพื่อรับรายชื่อที่รองรับ
บริการ การใช้งาน ไฟร์วอลล์-cmd --รับบริการ.
-s บริการ, --บริการ=บริการ
เพิ่มบริการไปยังโซนเริ่มต้น ตัวเลือกนี้สามารถระบุได้หลายครั้ง
บริการนี้เป็นหนึ่งในบริการที่ไฟร์วอลล์จัดให้ เพื่อรับรายชื่อที่รองรับ
บริการ การใช้งาน ไฟร์วอลล์-cmd --รับบริการ.
-p ท่าเรือ[-ท่าเรือ]:โปรโตคอล, --ท่า=ท่าเรือ[-ท่าเรือ]:โปรโตคอล
เพิ่มพอร์ตไปยังโซนเริ่มต้น ตัวเลือกนี้สามารถระบุได้หลายครั้ง
พอร์ตอาจเป็นหมายเลขพอร์ตเดียวหรือช่วงพอร์ตก็ได้ ท่าเรือ-ท่าเรือ.
โปรโตคอลอาจเป็น TCP or UDP.
-t อินเตอร์เฟซ, --เชื่อมั่น=อินเตอร์เฟซ
ตัวเลือกนี้จะส่งผลให้เกิดข้อความเตือน
ทำเครื่องหมายอินเทอร์เฟซว่าเชื่อถือได้ ตัวเลือกนี้สามารถระบุได้หลายครั้ง ดิ
อินเทอร์เฟซจะถูกผูกไว้กับโซนที่เชื่อถือได้
หากใช้อินเทอร์เฟซในการเชื่อมต่อที่มีการจัดการ NetworkManager หรือมี
ifcfg สำหรับอินเทอร์เฟซนี้ โซนจะถูกเปลี่ยนเป็นโซนที่กำหนดไว้ใน
การกำหนดค่าทันทีที่เปิดใช้งาน หากต้องการเปลี่ยนโซนของการเชื่อมต่อให้ใช้
nm-การเชื่อมต่อ-ตัวแก้ไข และตั้งค่าโซนเป็น trust สำหรับไฟล์ ifcfg ให้ใช้ตัวแก้ไขและ
เพิ่ม "ZONE=เชื่อถือได้" หากไม่ได้กำหนดโซนไว้ในไฟล์ ifcfg แสดงว่า firewalld
โซนเริ่มต้นจะถูกใช้
-m อินเตอร์เฟซ, --หน้ากาก=อินเตอร์เฟซ
ตัวเลือกนี้จะส่งผลให้เกิดข้อความเตือน
การปลอมแปลงจะเปิดใช้งานในโซนเริ่มต้น อาร์กิวเมนต์อินเทอร์เฟซจะเป็น
ละเลย นี่สำหรับ IPv4 เท่านั้น
--custom-กฎ=[ชนิด-ตาราง:]ชื่อไฟล์
ตัวเลือกนี้จะส่งผลให้เกิดข้อความเตือนและจะถูกละเว้น
ไฟล์กฎที่กำหนดเองไม่ได้รับการสนับสนุนโดย firewalld
--forward-พอร์ต=ถ้า=อินเตอร์เฟซ:พอร์ต=พอร์ต:โปรโต=โปรโตคอล[:พอร์ต=ปลายทาง
พอร์ต:][:toaddr=ปลายทาง ที่อยู่]
ตัวเลือกนี้จะส่งผลให้เกิดข้อความเตือน
เพิ่ม IPv4 ส่งต่อพอร์ตในโซนเริ่มต้น ตัวเลือกนี้สามารถระบุได้หลายรายการ
ครั้ง
พอร์ตสามารถเป็นหมายเลขพอร์ตเดียวได้ ท่าเรือ หรือช่วงพอร์ต ท่าเรือ-ท่าเรือ.
โปรโตคอลอาจเป็น TCP or UDP. ที่อยู่ปลายทางคือที่อยู่ IP
--block-icmp=ประเภท icmp
ตัวเลือกนี้จะส่งผลให้เกิดข้อความเตือน
เพิ่มบล็อก ICMP สำหรับ ประเภท icmp ในโซนเริ่มต้น ตัวเลือกนี้สามารถระบุได้
หลายครั้ง.
พื้นที่ ประเภท icmp เป็นหนึ่งในประเภท icmp firewalld รองรับ ที่จะได้รับรายชื่อของ
รองรับประเภท icmp: ไฟร์วอลล์-cmd --get-icmptypes
โซน Options
--get-default-โซน
พิมพ์โซนเริ่มต้นสำหรับการเชื่อมต่อและอินเทอร์เฟซ
--set-default-โซน=โซน
ตั้งค่าโซนเริ่มต้นสำหรับการเชื่อมต่อและอินเทอร์เฟซที่ไม่ได้เลือกโซน
การตั้งค่าโซนเริ่มต้นจะเปลี่ยนโซนสำหรับการเชื่อมต่อหรืออินเทอร์เฟซ นั่นคือ
โดยใช้โซนเริ่มต้น
--get-โซน
พิมพ์โซนที่กำหนดไว้ล่วงหน้าเป็นรายการที่คั่นด้วยช่องว่าง
--รับบริการ
พิมพ์บริการที่กำหนดไว้ล่วงหน้าเป็นรายการที่คั่นด้วยช่องว่าง
--get-icmptypes
พิมพ์ icmptypes ที่กำหนดไว้ล่วงหน้าเป็นรายการที่คั่นด้วยช่องว่าง
--get-โซนของอินเทอร์เฟซ=อินเตอร์เฟซ
พิมพ์ชื่อโซน อินเตอร์เฟซ ถูกผูกไว้กับหรือ ไม่ โซน.
--get-โซนของแหล่งที่มา=แหล่ง[/หน้ากาก]
พิมพ์ชื่อโซน แหล่ง[/หน้ากาก] ถูกผูกไว้กับหรือ ไม่ โซน.
--info-โซน=โซน
พิมพ์ข้อมูลเกี่ยวกับโซน โซน. รูปแบบผลลัพธ์คือ:
โซน
อินเตอร์เฟซ: อินเทอร์เฟซ1 ..
แหล่งที่มา: แหล่งที่มา1 ..
บริการ: service1 ..
พอร์ต: พอร์ต1 ..
โปรโตคอล: โปรโตคอล1 ..
ไปข้างหน้าพอร์ต:
ส่งต่อพอร์ต1
..
ICMP บล็อก: icmp-type1 ..
กฎที่ร่ำรวย:
รวยกฎ1
..
--รายการทุกโซน
แสดงรายการทุกอย่างที่เพิ่มหรือเปิดใช้งานในทุกโซน รูปแบบผลลัพธ์คือ:
zone1
อินเตอร์เฟซ: อินเทอร์เฟซ1 ..
แหล่งที่มา: แหล่งที่มา1 ..
บริการ: service1 ..
พอร์ต: พอร์ต1 ..
โปรโตคอล: โปรโตคอล1 ..
ไปข้างหน้าพอร์ต:
ส่งต่อพอร์ต1
..
ICMP บล็อก: icmp-type1 ..
กฎที่ร่ำรวย:
รวยกฎ1
..
..
--โซนใหม่=โซน
เพิ่มโซนถาวรใหม่
--ลบโซน=โซน
ลบโซนถาวรที่มีอยู่
--โซน=โซน --get-เป้าหมาย
รับเป้าหมายของโซนถาวร
--โซน=โซน --ตั้งเป้าหมาย=โซน
กำหนดเป้าหมายของโซนถาวร
Options ไปยัง ปรับ และ สอบถาม โซน
ตัวเลือกในส่วนนี้มีผลกับโซนใดโซนหนึ่งเท่านั้น ถ้าใช้กับ --โซน=โซน ตัวเลือก
ส่งผลต่อโซน โซน. หากละเว้นตัวเลือก จะส่งผลต่อโซนเริ่มต้น (ดู
--get-default-โซน).
[--โซน=โซน] --รายการทั้งหมด
แสดงรายการทุกอย่างที่เพิ่มสำหรับหรือเปิดใช้งานใน โซน. หากละเว้นโซน โซนเริ่มต้นจะเป็น
มือสอง
[--โซน=โซน] --รายการบริการ
รายการบริการที่เพิ่มสำหรับ โซน เป็นรายการที่คั่นด้วยช่องว่าง หากละเว้นโซน ค่าเริ่มต้น
จะใช้โซน
[--โซน=โซน] --เพิ่มบริการ=บริการ
เพิ่มบริการสำหรับ โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้ ตัวเลือกนี้สามารถ
ระบุหลายครั้ง
บริการนี้เป็นหนึ่งในบริการที่ไฟร์วอลล์จัดให้ เพื่อรับรายชื่อที่รองรับ
บริการ การใช้งาน ไฟร์วอลล์-cmd --รับบริการ.
[--โซน=โซน] --remove-service-from-โซน=บริการ
ลบบริการจาก โซน. ตัวเลือกนี้สามารถระบุได้หลายครั้ง ถ้าโซนคือ
ละเว้น โซนเริ่มต้นจะถูกใช้
[--โซน=โซน] --query-บริการ=บริการ
ส่งคืนหรือไม่ บริการ ได้รับการเพิ่มสำหรับ โซน. หากละเว้นโซน โซนเริ่มต้นจะ
ถูกนำมาใช้ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
[--โซน=โซน] --รายการพอร์ต
รายชื่อพอร์ตที่เพิ่มสำหรับ โซน เป็นรายการที่คั่นด้วยช่องว่าง พอร์ตอยู่ในรูปแบบ
ท่าเรือ[-ท่าเรือ]/โปรโตคอลมันสามารถเป็นได้ทั้งพอร์ตและคู่โปรโตคอลหรือช่วงพอร์ต
ด้วยโปรโตคอล หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
[--โซน=โซน] --เพิ่มพอร์ต=ท่าเรือ[-ท่าเรือ]/โปรโตคอล
เพิ่มพอร์ตสำหรับ โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้ ตัวเลือกนี้สามารถ
ระบุหลายครั้ง
พอร์ตอาจเป็นหมายเลขพอร์ตเดียวหรือช่วงพอร์ตก็ได้ ท่าเรือ-ท่าเรือ.
โปรโตคอลอาจเป็น TCP or UDP.
[--โซน=โซน] --ลบพอร์ต=ท่าเรือ[-ท่าเรือ]/โปรโตคอล
ถอดพอร์ตออกจาก โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้ ตัวเลือกนี้
สามารถระบุได้หลายครั้ง
[--โซน=โซน] --query-พอร์ต=ท่าเรือ[-ท่าเรือ]/โปรโตคอล
ส่งคืนว่ามีการเพิ่มพอร์ตสำหรับ .หรือไม่ โซน. หากละเว้นโซน โซนเริ่มต้นจะ
ถูกนำมาใช้ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
[--โซน=โซน] --list-โปรโตคอล
แสดงรายการโปรโตคอลที่เพิ่มสำหรับ โซน เป็นรายการที่คั่นด้วยช่องว่าง หากละเว้นโซน ค่าเริ่มต้น
จะใช้โซน
[--โซน=โซน] --add-โปรโตคอล=โปรโตคอล
เพิ่มโปรโตคอลสำหรับ โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้ ตัวเลือกนี้
สามารถระบุได้หลายครั้ง หากมีการหมดเวลา กฎจะทำงานสำหรับ
ตามระยะเวลาที่กำหนดและจะถูกลบออกโดยอัตโนมัติหลังจากนั้น ช่วงเวลา is
ตัวเลข (วินาที) หรือตัวเลขตามด้วยอักขระตัวใดตัวหนึ่ง s (วินาที) m
(นาที), h (ชั่วโมง) เช่น 20m or 1h.
โปรโตคอลสามารถเป็นโปรโตคอลใดก็ได้ที่ระบบรองรับ เชิญรับชมได้เลยครับ
/ etc / โปรโตคอล สำหรับโปรโตคอลที่รองรับ
[--โซน=โซน] --remove-โปรโตคอล=โปรโตคอล
ลบโปรโตคอลออกจาก โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้ นี้
สามารถระบุตัวเลือกได้หลายครั้ง
[--โซน=โซน] --query-โปรโตคอล=โปรโตคอล
ส่งคืนว่ามีการเพิ่มโปรโตคอลสำหรับ .หรือไม่ โซน. หากละเว้นโซน โซนเริ่มต้น
จะถูกนำไปใช้. ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
[--โซน=โซน] --list-icmp-บล็อก
แสดงรายการบล็อกประเภท Internet Control Message Protocol (ICMP) ที่เพิ่มสำหรับ โซน เป็นช่องว่าง
แยกรายการ. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
[--โซน=โซน] --add-icmp-บล็อก=ประเภท icmp
เพิ่มบล็อก ICMP สำหรับ ประเภท icmp for โซน. หากละเว้นโซน โซนเริ่มต้นจะเป็น
ใช้แล้ว. ตัวเลือกนี้สามารถระบุได้หลายครั้ง
พื้นที่ ประเภท icmp เป็นหนึ่งในประเภท icmp firewalld รองรับ ที่จะได้รับรายชื่อของ
รองรับประเภท icmp: ไฟร์วอลล์-cmd --get-icmptypes
[--โซน=โซน] --remove-icmp-บล็อก=ประเภท icmp
ลบบล็อก ICMP สำหรับ ประเภท icmp ราคาเริ่มต้นที่ โซน. หากละเว้นโซน โซนเริ่มต้นจะเป็น
ใช้แล้ว. ตัวเลือกนี้สามารถระบุได้หลายครั้ง
[--โซน=โซน] --query-icmp-บล็อก=ประเภท icmp
ส่งคืนว่า ICMP บล็อกสำหรับ ประเภท icmp ได้รับการเพิ่มสำหรับ โซน. หากละเว้นโซน
โซนเริ่มต้นจะถูกใช้ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
[--โซน=โซน] --list-forward-พอร์ต
รายการ IPv4 เพิ่มพอร์ตไปข้างหน้าสำหรับ โซน เป็นรายการที่คั่นด้วยช่องว่าง หากละเว้นโซน
โซนเริ่มต้นจะถูกใช้
สำหรับ IPv6 ส่งต่อพอร์ตโปรดใช้ภาษาที่หลากหลาย
[--โซน=โซน]
--add-forward-พอร์ต=พอร์ต=ท่าเรือ[-ท่าเรือ]:โปรโต=โปรโตคอล[:พอร์ต=ท่าเรือ[-ท่าเรือ]][:toaddr=ที่อยู่[/หน้ากาก]]
เพิ่ม IPv4 ส่งต่อพอร์ตสำหรับ โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
ตัวเลือกนี้สามารถระบุได้หลายครั้ง
พอร์ตสามารถเป็นหมายเลขพอร์ตเดียวได้ ท่าเรือ หรือช่วงพอร์ต ท่าเรือ-ท่าเรือ.
โปรโตคอลอาจเป็น TCP or UDP. ที่อยู่ปลายทางคือที่อยู่ IP อย่างง่าย
สำหรับ IPv6 ส่งต่อพอร์ตโปรดใช้ภาษาที่หลากหลาย
[--โซน=โซน]
--remove-forward-พอร์ต=พอร์ต=ท่าเรือ[-ท่าเรือ]:โปรโต=โปรโตคอล[:พอร์ต=ท่าเรือ[-ท่าเรือ]][:toaddr=ที่อยู่[/หน้ากาก]]
ลบ IPv4 ส่งต่อพอร์ตจาก โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
ตัวเลือกนี้สามารถระบุได้หลายครั้ง
สำหรับ IPv6 ส่งต่อพอร์ตโปรดใช้ภาษาที่หลากหลาย
[--โซน=โซน]
--query-forward-พอร์ต=พอร์ต=ท่าเรือ[-ท่าเรือ]:โปรโต=โปรโตคอล[:พอร์ต=ท่าเรือ[-ท่าเรือ]][:toaddr=ที่อยู่[/หน้ากาก]]
ส่งคืนว่า IPv4 เพิ่มพอร์ตไปข้างหน้าสำหรับ โซน. หากละเว้นโซน
โซนเริ่มต้นจะถูกใช้ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
สำหรับ IPv6 ส่งต่อพอร์ตโปรดใช้ภาษาที่หลากหลาย
[--โซน=โซน] --add-สวมหน้ากาก
ทำให้สามารถ IPv4 ปลอมตัวเพื่อ โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
การปลอมแปลงจะมีประโยชน์หากเครื่องเป็นเราเตอร์และเครื่องที่เชื่อมต่อผ่าน an
ส่วนต่อประสานในโซนอื่นควรสามารถใช้การเชื่อมต่อครั้งแรกได้
สำหรับ IPv6 การปลอมตัวโปรดใช้ภาษาที่ร่ำรวย
[--โซน=โซน] --ลบ-หน้ากาก
ปิดการใช้งาน IPv4 ปลอมตัวเพื่อ โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
สำหรับ IPv6 การปลอมตัวโปรดใช้ภาษาที่ร่ำรวย
[--โซน=โซน] --query-สวมหน้ากาก
ส่งคืนหรือไม่ IPv4 การปลอมตัวถูกเปิดใช้งานสำหรับ โซน. หากละเว้นโซน
โซนเริ่มต้นจะถูกใช้ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
สำหรับ IPv6 การปลอมตัวโปรดใช้ภาษาที่ร่ำรวย
[--โซน=โซน] --list-rich-กฎ
เพิ่มกฎเกณฑ์ภาษาที่หลากหลายสำหรับ โซน เป็นรายการที่แยกขึ้นบรรทัดใหม่ ถ้าโซนคือ
ละเว้น โซนเริ่มต้นจะถูกใช้
[--โซน=โซน] --add-รวย-กฎ='กฎ'
เพิ่มกฎภาษาที่หลากหลาย 'กฎ' สำหรับ โซน. ตัวเลือกนี้สามารถระบุได้หลายครั้ง
หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
สำหรับไวยากรณ์กฎภาษาที่หลากหลาย โปรดดูที่ firewalld.richlang(5)
[--โซน=โซน] --ลบ-รวย-กฎ='กฎ'
ลบกฎภาษาสมบูรณ์ 'กฎ' จาก โซน. ตัวเลือกนี้สามารถระบุได้หลายรายการ
ครั้ง หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
สำหรับไวยากรณ์กฎภาษาที่หลากหลาย โปรดดูที่ firewalld.richlang(5)
[--โซน=โซน] --query-รวย-กฎ='กฎ'
ส่งกลับว่ากฎภาษารวย 'กฎ' ถูกเพิ่มสำหรับ โซน. ถ้าโซนคือ
ละเว้น โซนเริ่มต้นจะถูกใช้ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
สำหรับไวยากรณ์กฎภาษาที่หลากหลาย โปรดดูที่ firewalld.richlang(5)
Options ไปยัง จัดการ ผูก of อินเตอร์เฟซ
การผูกอินเทอร์เฟซกับโซนหมายความว่าการตั้งค่าโซนนี้ใช้เพื่อจำกัดการรับส่งข้อมูล
ผ่านอินเทอร์เฟซ
ตัวเลือกในส่วนนี้มีผลกับโซนใดโซนหนึ่งเท่านั้น ถ้าใช้กับ --โซน=โซน ตัวเลือก
ส่งผลต่อโซน โซน. หากละเว้นตัวเลือก จะส่งผลต่อโซนเริ่มต้น (ดู
--get-default-โซน).
สำหรับรายการโซนที่กำหนดไว้ล่วงหน้า ให้ใช้ ไฟร์วอลล์-cmd --get-โซน.
ชื่ออินเทอร์เฟซคือสตริงที่มีความยาวไม่เกิน 16 อักขระ ซึ่งอาจไม่มี ' ', '/', '!'
และ '*'.
[--โซน=โซน] --list-อินเทอร์เฟซ
แสดงรายการอินเทอร์เฟซที่ผูกกับโซน โซน เป็นรายการที่คั่นด้วยช่องว่าง ถ้าโซนคือ
ละเว้น โซนเริ่มต้นจะถูกใช้
[--โซน=โซน] --add-อินเตอร์เฟซ=อินเตอร์เฟซ
ผูกอินเทอร์เฟซ อินเตอร์เฟซ ไปยังโซน โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
[--โซน=โซน] --เปลี่ยนอินเทอร์เฟซ=อินเตอร์เฟซ
เปลี่ยนโซนอินเทอร์เฟซ อินเตอร์เฟซ ถูกผูกไว้กับโซน โซน. หากละเว้นโซน
โซนเริ่มต้นจะถูกใช้ หากโซนเก่าและใหม่เหมือนกัน จะเพิกเฉยต่อการโทร
โดยไม่มีข้อผิดพลาด ถ้าอินเทอร์เฟซไม่เคยผูกกับโซนมาก่อน มันจะทำงาน
กดไลก์ --add-อินเตอร์เฟซ.
[--โซน=โซน] --query-อินเตอร์เฟซ=อินเตอร์เฟซ
ถามว่าอินเตอร์เฟส อินเตอร์เฟซ ถูกผูกไว้กับโซน โซน. ส่งกลับ 0 ถ้าเป็นจริง 1
มิฉะนั้น.
[--โซน=โซน] --ลบอินเทอร์เฟซ=อินเตอร์เฟซ
ลบการผูกของอินเทอร์เฟซ อินเตอร์เฟซ จากโซน โซน. หากละเว้นโซน โซนเริ่มต้น
จะถูกนำไปใช้.
Options ไปยัง จัดการ ผูก of แหล่งที่มา
การเชื่อมโยงแหล่งที่มากับโซนหมายความว่าการตั้งค่าโซนนี้จะใช้เพื่อจำกัดการรับส่งข้อมูล
จากแหล่งนี้
ที่อยู่ต้นทางหรือช่วงที่อยู่อาจเป็นที่อยู่ IP หรือที่อยู่ IP ของเครือข่ายที่มี a
มาสก์สำหรับ IPv4 หรือ IPv6 หรือที่อยู่ MAC (ไม่มีมาสก์) สำหรับ IPv4 มาสก์สามารถเป็นเน็ตเวิร์กมาสก์ได้
หรือเลขธรรมดา สำหรับ IPv6 มาสก์จะเป็นตัวเลขธรรมดา การใช้ชื่อโฮสต์ไม่ใช่
ได้รับการสนับสนุน.
ตัวเลือกในส่วนนี้มีผลกับโซนใดโซนหนึ่งเท่านั้น ถ้าใช้กับ --โซน=โซน ตัวเลือก
ส่งผลต่อโซน โซน. หากละเว้นตัวเลือก จะส่งผลต่อโซนเริ่มต้น (ดู
--get-default-โซน).
สำหรับรายการโซนที่กำหนดไว้ล่วงหน้า ให้ใช้ ไฟร์วอลล์-cmd --get-โซน.
[--โซน=โซน] --รายการแหล่งที่มา
แสดงรายการที่มาที่ผูกกับโซน โซน เป็นรายการที่คั่นด้วยช่องว่าง ถ้าโซนคือ
ละเว้น โซนเริ่มต้นจะถูกใช้
[--โซน=โซน] --เพิ่มแหล่งที่มา=แหล่ง[/หน้ากาก]
ผูกแหล่งที่มา แหล่ง[/หน้ากาก] ไปยังโซน โซน. หากละเว้นโซน โซนเริ่มต้นจะถูกใช้
[--โซน=โซน] --change-แหล่งที่มา=แหล่ง[/หน้ากาก]
เปลี่ยนโซนต้นทาง แหล่ง[/หน้ากาก] ถูกผูกไว้กับโซน โซน. หากละเว้นโซน
โซนเริ่มต้นจะถูกใช้ หากโซนเก่าและใหม่เหมือนกัน จะเพิกเฉยต่อการโทร
โดยไม่มีข้อผิดพลาด ถ้าต้นทางไม่เคยผูกกับโซนมาก่อนจะทำงาน
กดไลก์ --เพิ่มแหล่งที่มา.
[--โซน=โซน] --query-แหล่งที่มา=แหล่ง[/หน้ากาก]
ถามว่าแหล่งที่มา แหล่ง[/หน้ากาก] ถูกผูกไว้กับโซน โซน. ส่งกลับ 0 ถ้าเป็นจริง 1
มิฉะนั้น.
[--โซน=โซน] --remove-แหล่งที่มา=แหล่ง[/หน้ากาก]
ลบการผูกแหล่งที่มา แหล่ง[/หน้ากาก] จากโซน โซน. หากละเว้นโซน ค่าเริ่มต้น
จะใช้โซน
IPSet Options
--ipset ใหม่=ไอแพต --พิมพ์=ไอแพต ชนิด [--ตัวเลือก=ไอแพต ตัวเลือก[=ความคุ้มค่า]]
เพิ่ม ipset ถาวรใหม่โดยระบุประเภทและตัวเลือกเสริม
--ลบ-ipset=ไอแพต
ลบ ipset ถาวรที่มีอยู่
--ข้อมูล-ipset=ไอแพต
พิมพ์ข้อมูลเกี่ยวกับ ipset ไอแพต. รูปแบบผลลัพธ์คือ:
ไอแพต
ประเภท: ชนิด
ตัวเลือก: ตัวเลือกที่ 1[=value1] ..
รายการ: รายการ1 ..
--get-ipsets
พิมพ์ ipsets ที่กำหนดไว้ล่วงหน้าเป็นรายการที่คั่นด้วยช่องว่าง
--ipset=ไอแพต --เพิ่มรายการ=การเข้า
เพิ่มรายการใหม่ใน ipset
--ipset=ไอแพต --ลบ-รายการ=การเข้า
ลบรายการออกจาก ipset
--ipset=ไอแพต --query-รายการ=การเข้า
ส่งคืนว่ามีการเพิ่มรายการใน ipset หรือไม่ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
--ipset=ไอแพต --รับรายการ
แสดงรายการทั้งหมดของ ipset
Service Options
--info-บริการ=บริการ
พิมพ์ข้อมูลเกี่ยวกับบริการ บริการ. รูปแบบผลลัพธ์คือ:
บริการ
พอร์ต: พอร์ต1 ..
โปรโตคอล: โปรโตคอล1 ..
โมดูล: โมดูล1 ..
ปลายทาง: ipv1:ที่อยู่ 1 ..
--บริการใหม่=บริการ
เพิ่มบริการถาวรใหม่
--ลบ-บริการ=บริการ
ลบบริการถาวรที่มีอยู่
--บริการ=บริการ --เพิ่มพอร์ต=ท่าเรือ[-ท่าเรือ]/โปรโตคอล
เพิ่มพอร์ตใหม่ให้กับบริการถาวร
--บริการ=บริการ --ลบพอร์ต=ท่าเรือ[-ท่าเรือ]/โปรโตคอล
ลบพอร์ตออกจากบริการถาวร
--บริการ=บริการ --query-พอร์ต=ท่าเรือ[-ท่าเรือ]/โปรโตคอล
ผลตอบแทนที่ได้เพิ่มพอร์ตไปยังบริการถาวร
--บริการ=บริการ --get-พอร์ต
รายชื่อพอร์ตที่เพิ่มไปยังบริการถาวร
--บริการ=บริการ --add-โปรโตคอล=โปรโตคอล
เพิ่มโปรโตคอลใหม่ให้กับบริการถาวร
--บริการ=บริการ --remove-โปรโตคอล=โปรโตคอล
ลบโปรโตคอลออกจากบริการถาวร
--บริการ=บริการ --query-โปรโตคอล=โปรโตคอล
ส่งคืนหากมีการเพิ่มโปรโตคอลไปยังบริการถาวร
--บริการ=บริการ --get-โปรโตคอล
แสดงรายการโปรโตคอลที่เพิ่มไปยังบริการถาวร
--บริการ=บริการ --add-โมดูล=โมดูล
เพิ่มโมดูลใหม่ให้กับบริการถาวร
--บริการ=บริการ --remo-module=โมดูล
ลบโมดูลออกจากบริการถาวร
--บริการ=บริการ --query-โมดูล=โมดูล
ส่งคืนหากมีการเพิ่มโมดูลไปยังบริการถาวร
--บริการ=บริการ --get-โมดูล
แสดงรายการโมดูลที่เพิ่มไปยังบริการถาวร
--บริการ=บริการ --เพิ่มปลายทาง=ไอพีวี:ที่อยู่[/หน้ากาก]
ตั้งค่าปลายทางสำหรับ ipv เป็นที่อยู่[/mask] ในบริการถาวร
--บริการ=บริการ --remove-ปลายทาง=ไอพีวี
ลบปลายทางสำหรับ ipv ออกจากบริการถาวร
--บริการ=บริการ --query-ปลายทาง=ไอพีวี:ที่อยู่[/หน้ากาก]
ส่งคืน ipv ปลายทางไปยังที่อยู่[/mask] ได้รับการตั้งค่าถาวร
บริการ
--บริการ=บริการ --get-ปลายทาง
รายชื่อปลายทางที่เพิ่มไปยังบริการถาวร
อินเทอร์เน็ต Control ระบุความประสงค์หรือขอข้อมูลเพิ่มเติม โปรโตคอล (ไอซีเอ็มพี) ชนิด Options
--ข้อมูล-icmptype=ประเภท icmp
พิมพ์ข้อมูลเกี่ยวกับ icmptype ประเภท icmp. รูปแบบผลลัพธ์คือ:
ประเภท icmp
ปลายทาง: ipv1 ..
--icmptype ใหม่=ประเภท icmp
เพิ่ม icmptype ถาวรใหม่
--ลบ-icmptype=ประเภท icmp
ลบ icmptype ถาวรที่มีอยู่
--icmptype=ประเภท icmp --เพิ่มปลายทาง=ไอพีวี
เปิดใช้งานปลายทางสำหรับ ipv ใน icmptype ถาวร ipv เป็นหนึ่งใน ipv4 or ipv6.
--icmptype=ประเภท icmp --remove-ปลายทาง=ไอพีวี
ปิดใช้งานปลายทางสำหรับ ipv ใน icmptype ถาวร ipv เป็นหนึ่งใน ipv4 or ipv6.
--icmptype=ประเภท icmp --query-ปลายทาง=ไอพีวี
ส่งคืนว่ามีการเปิดใช้งานปลายทางสำหรับ ipv ใน icmptype ถาวรหรือไม่ ipv เป็นหนึ่งใน
ipv4 or ipv6.
--icmptype=ประเภท icmp --get-ปลายทาง
แสดงรายการปลายทางใน icmptype ถาวร
โดยตรง Options
ตัวเลือกโดยตรงช่วยให้เข้าถึงไฟร์วอลล์ได้โดยตรงมากขึ้น ตัวเลือกเหล่านี้ต้องการผู้ใช้
เพื่อทราบแนวคิดพื้นฐานของ iptables เช่น ตาราง (ฟิลเตอร์/แมงเกิล/แนท/...), โซ่
(อินพุต/เอาต์พุต/ไปข้างหน้า/...), คำสั่ง (-อ/-ด/-ฉัน/...), พารามิเตอร์ (-p/-s/-d/-j/...) และ
เป้าหมาย (ยอมรับ/วาง/ปฏิเสธ/...).
ควรใช้ตัวเลือกโดยตรงเป็นทางเลือกสุดท้ายเมื่อไม่สามารถใช้สำหรับ
ตัวอย่าง --เพิ่มบริการ=บริการ or --add-รวย-กฎ='กฎ'.
อาร์กิวเมนต์แรกของแต่ละตัวเลือกต้องเป็น ipv4 or ipv6 or eb. ด้วย ipv4 มันจะเป็นสำหรับ
IPv4 (iptables(8)), กับ ipv6 สำหรับ IPv6 (ip6tables(8)) และด้วย eb สำหรับอีเทอร์เน็ตบริดจ์
(EBtables(พ.ศ. 8)).
--โดยตรง --get-all-chains
เพิ่มโซ่ทั้งหมดลงในตารางทั้งหมด
ตัวเลือกนี้เกี่ยวข้องเฉพาะเชนที่เพิ่มไว้ก่อนหน้านี้ด้วย --โดยตรง --เพิ่มห่วงโซ่.
--โดยตรง --get-โซ่ { ipv4 | ipv6 | eb } ตาราง
เพิ่มโซ่ทั้งหมดลงในตาราง ตาราง เป็นรายการที่คั่นด้วยช่องว่าง
ตัวเลือกนี้เกี่ยวข้องเฉพาะเชนที่เพิ่มไว้ก่อนหน้านี้ด้วย --โดยตรง --เพิ่มห่วงโซ่.
--โดยตรง --เพิ่มห่วงโซ่ { ipv4 | ipv6 | eb } ตาราง โซ่
เพิ่มเชนใหม่ด้วยชื่อ โซ่ ไปที่โต๊ะ ตาราง.
มีสายโซ่พื้นฐานที่ใช้กับตัวเลือกโดยตรงอยู่แล้ว เช่น INPUT_direct
ห่วงโซ่ (ดู iptables-บันทึก | grep โดยตรง เอาท์พุทสำหรับพวกเขาทั้งหมด) โซ่เหล่านี้คือ
กระโดดเข้ามาก่อนจะล่ามโซ่ไว้เป็นโซน คือ ทุกกฎที่ใส่เข้าไป INPUT_direct จะ
ตรวจสอบก่อนกฎในโซน
--โดยตรง --remo-chain { ipv4 | ipv6 | eb } ตาราง โซ่
ถอดโซ่ด้วยชื่อ โซ่ จากโต๊ะ ตาราง.
--โดยตรง --query-ห่วงโซ่ { ipv4 | ipv6 | eb } ตาราง โซ่
กลับเป็นเชนที่มีชื่อ โซ่ มีอยู่ในตาราง ตาราง. ส่งกลับ 0 ถ้าเป็นจริง 1
มิฉะนั้น.
ตัวเลือกนี้เกี่ยวข้องเฉพาะเชนที่เพิ่มไว้ก่อนหน้านี้ด้วย --โดยตรง --เพิ่มห่วงโซ่.
--โดยตรง --get-all-กฎ
รับกฎทั้งหมดที่เพิ่มไปยังเชนทั้งหมดในทุกตารางโดยขึ้นบรรทัดใหม่แยกรายการของ
ลำดับความสำคัญและอาร์กิวเมนต์
--โดยตรง --get-กฎ { ipv4 | ipv6 | eb } ตาราง โซ่
เพิ่มกฎทั้งหมดลงในเชน โซ่ ในตาราง ตาราง เป็นการขึ้นบรรทัดใหม่แยกรายการของ
ลำดับความสำคัญและอาร์กิวเมนต์
--โดยตรง --add-กฎ { ipv4 | ipv6 | eb } ตาราง โซ่ ลำดับความสำคัญ args
เพิ่มกฎด้วยอาร์กิวเมนต์ args ล่ามโซ่ โซ่ ในตาราง ตาราง ด้วยลำดับความสำคัญ
ลำดับความสำคัญ.
พื้นที่ ลำดับความสำคัญ ใช้สำหรับระเบียบการสั่งซื้อ ลำดับความสำคัญ 0 หมายถึงเพิ่มกฎที่ด้านบนของห่วงโซ่
ที่มีลำดับความสำคัญสูงกว่า กฎจะถูกเพิ่มลงไปด้านล่าง กฎเหมือนกัน
ลำดับความสำคัญอยู่ในระดับเดียวกันและลำดับของกฎเหล่านี้ไม่ได้รับการแก้ไขและอาจ
เปลี่ยน. หากคุณต้องการให้แน่ใจว่ากฎจะถูกเพิ่มหลังจากกฎอื่น ให้ใช้a
ลำดับความสำคัญต่ำสำหรับอันดับแรกและสูงกว่าสำหรับรายการต่อไปนี้
--โดยตรง --remove-กฎ { ipv4 | ipv6 | eb } ตาราง โซ่ ลำดับความสำคัญ args
ลบกฎด้วย ลำดับความสำคัญ และข้อโต้แย้ง args จากโซ่ โซ่ ในตาราง ตาราง.
--โดยตรง --remove-กฎ { ipv4 | ipv6 | eb } ตาราง โซ่
ลบกฎทั้งหมดในกลุ่มที่มีชื่อ โซ่ มีอยู่ในตาราง ตาราง.
ตัวเลือกนี้เกี่ยวข้องกับกฎที่เพิ่มไว้ก่อนหน้านี้ด้วย .เท่านั้น --โดยตรง --add-กฎ ในการนี้
เชื่อมต่อ.
--โดยตรง --query-กฎ { ipv4 | ipv6 | eb } ตาราง โซ่ ลำดับความสำคัญ args
ส่งกลับกฎว่าด้วย ลำดับความสำคัญ และข้อโต้แย้ง args มีอยู่ในห่วงโซ่ โซ่ in
ตาราง ตาราง. ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
--โดยตรง --get-all-passthroughs
รับ passthrough ถาวรทั้งหมดเป็นรายการขึ้นบรรทัดใหม่ของค่า ipv และ
ข้อโต้แย้ง
--โดยตรง --get-ผ่าน { ipv4 | ipv6 | eb }
รับกฎการส่งผ่านถาวรทั้งหมดสำหรับค่า ipv เป็นรายการขึ้นบรรทัดใหม่แยกจาก
ลำดับความสำคัญและอาร์กิวเมนต์
--โดยตรง --เพิ่ม-ผ่าน { ipv4 | ipv6 | eb } args
เพิ่มกฎการส่งผ่านถาวรด้วยอาร์กิวเมนต์ args สำหรับค่า ipv
--โดยตรง --remove-ผ่าน { ipv4 | ipv6 | eb } args
ลบกฎการส่งผ่านถาวรด้วยอาร์กิวเมนต์ args สำหรับค่า ipv
--โดยตรง --query-ผ่าน { ipv4 | ipv6 | eb } args
ส่งคืนกฎการส่งผ่านถาวรที่มีอาร์กิวเมนต์ args มีอยู่สำหรับ ipv
ค่า. ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
ออกโรง Options
แอปพลิเคชันหรือบริการในพื้นที่สามารถเปลี่ยนการกำหนดค่าไฟร์วอลล์ได้หากเป็น
ทำงานเป็นรูท (ตัวอย่าง: libvirt) หรือตรวจสอบสิทธิ์โดยใช้ PolicyKit ด้วยคุณสมบัตินี้
ผู้ดูแลระบบสามารถล็อกการกำหนดค่าไฟร์วอลล์เพื่อให้เฉพาะแอปพลิเคชันที่ล็อกดาวน์เท่านั้น
รายการที่อนุญาตสามารถขอเปลี่ยนแปลงไฟร์วอลล์ได้
การตรวจสอบการเข้าถึงการล็อกจะจำกัดเมธอด D-Bus ที่เปลี่ยนกฎไฟร์วอลล์ แบบสอบถาม
รายการและรับวิธีการไม่จำกัด
คุณลักษณะการล็อกเป็นเวอร์ชันที่เบามากสำหรับนโยบายผู้ใช้และแอปพลิเคชันสำหรับ
firewalld และปิดโดยค่าเริ่มต้น
--ล็อค-เปิด
เปิดใช้งานการล็อกดาวน์ ระวัง - หาก firewall-cmd ไม่อยู่ในรายการที่อนุญาตพิเศษเมื่อคุณ
เปิดใช้งาน lockdown คุณจะไม่สามารถปิดการใช้งานได้อีกด้วย firewall-cmd คุณจะ
ต้องแก้ไข firewalld.conf
--ล็อค-ปิด
ปิดใช้งานการล็อกดาวน์
--query-ล็อคดาวน์
ถามว่าเปิดใช้งานการล็อกหรือไม่ คืนค่า 0 หากเปิดใช้งานการล็อกไว้ มิฉะนั้น 1 รายการ
ออกโรง whitelist Options
รายการที่อนุญาตพิเศษในการล็อกดาวน์สามารถมี คำสั่ง, บริบท, ผู้ใช้ และ ผู้ใช้งาน รหัส.
หากรายการคำสั่งในรายการที่อนุญาตพิเศษลงท้ายด้วยเครื่องหมายดอกจัน '*' แสดงว่าบรรทัดคำสั่งทั้งหมด
เริ่มต้นด้วยคำสั่งจะจับคู่ หาก '*' ไม่มีคำสั่งที่แน่นอน
อาร์กิวเมนต์รวมต้องตรงกัน
คำสั่งสำหรับรูทผู้ใช้และอื่นๆ ไม่เหมือนกันเสมอไป ตัวอย่าง: ในฐานะรูท
/bin/ไฟร์วอลล์-cmd ถูกใช้ในฐานะผู้ใช้ทั่วไป /usr/bin/ไฟร์วอลล์-cmd ใช้กับ Fedora
บริบทคือบริบทความปลอดภัย (SELinux) ของแอปพลิเคชันหรือบริการที่ทำงานอยู่ ที่จะได้รับ
บริบทของการใช้แอปพลิเคชันที่ทำงานอยู่ ps -e --บริบท.
คำเตือน: หากบริบทไม่ถูกจำกัด จะเป็นการเปิดการเข้าถึงมากกว่า
แอปพลิเคชันที่ต้องการ
รายการที่อนุญาตพิเศษในการล็อกดาวน์จะถูกตรวจสอบตามลำดับต่อไปนี้:
1. สิ่งแวดล้อม
2. UID
3. ผู้ใช้งาน
4. คำสั่ง
--list-lockdown-whitelist-คำสั่ง
แสดงรายการบรรทัดคำสั่งทั้งหมดที่อยู่ในรายการที่อนุญาตพิเศษ
--add-lockdown-whitelist-คำสั่ง=คำสั่ง
เพิ่ม คำสั่ง ไปที่ไวท์ลิสต์
--remove-lockdown-รายการที่อนุญาต-คำสั่ง=คำสั่ง
ลบ คำสั่ง จากรายการที่อนุญาต
--query-lockdown-รายการที่อนุญาต-คำสั่ง=คำสั่ง
สอบถามว่า คำสั่ง อยู่ในไวท์ลิสต์ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
--list-lockdown-whitelist-contexts
แสดงรายการบริบททั้งหมดที่อยู่ในรายการที่อนุญาตพิเศษ
--add-lockdown-whitelist-บริบท=สิ่งแวดล้อม
เพิ่มบริบท สิ่งแวดล้อม ไปที่ไวท์ลิสต์
--remove-lockdown-รายการที่อนุญาต-บริบท=สิ่งแวดล้อม
ลบ สิ่งแวดล้อม จากรายการที่อนุญาต
--query-lockdown-รายการที่อนุญาต-บริบท=สิ่งแวดล้อม
สอบถามว่า สิ่งแวดล้อม อยู่ในไวท์ลิสต์ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
--list-lockdown-whitelist-uid
ระบุรหัสผู้ใช้ทั้งหมดที่อยู่ในรายการที่อนุญาตพิเศษ
--add-lockdown-รายการที่อนุญาตพิเศษ-uid=UID
เพิ่ม ID ผู้ใช้ UID ไปที่ไวท์ลิสต์
--remove-lockdown-รายการที่อนุญาตพิเศษ-uid=UID
ลบ ID ผู้ใช้ UID จากรายการที่อนุญาต
--query-lockdown-รายการที่อนุญาต-uid=UID
สอบถามว่า ID ผู้ใช้ UID อยู่ในไวท์ลิสต์ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
--list-lockdown-whitelist-users
ระบุชื่อผู้ใช้ทั้งหมดที่อยู่ในรายการที่อนุญาตพิเศษ
--add-lockdown-whitelist-ผู้ใช้=ผู้ใช้งาน
เพิ่มชื่อผู้ใช้ ผู้ใช้งาน ไปที่ไวท์ลิสต์
--remove-lockdown-รายการที่อนุญาตพิเศษ-ผู้ใช้=ผู้ใช้งาน
ลบชื่อผู้ใช้ ผู้ใช้งาน จากรายการที่อนุญาต
--query-lockdown-รายการที่อนุญาตพิเศษ-ผู้ใช้=ผู้ใช้งาน
ถามว่าชื่อผู้ใช้ ผู้ใช้งาน อยู่ในไวท์ลิสต์ ส่งกลับ 0 ถ้าเป็นจริง 1 มิฉะนั้น
นโยบาย Options
--นโยบาย-เซิร์ฟเวอร์
เปลี่ยนการกระทำของ Polkit เป็น 'เซิร์ฟเวอร์' (จำกัด มากขึ้น)
--policy-เดสก์ท็อป
เปลี่ยนการกระทำของ Polkit เป็น 'เดสก์ท็อป' (จำกัดน้อยกว่า)
ใช้ firewall-offline-cmd ออนไลน์โดยใช้บริการ onworks.net