Це команда firewall-offline-cmd, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS.
ПРОГРАМА:
ІМ'Я
firewall-offline-cmd - автономний клієнт командного рядка firewalld
СИНТАКСИС
брандмауер-офлайн-cmd [ВАРІАНТИ...]
ОПИС
firewall-offline-cmd — це автономний клієнт командного рядка демона firewalld. Це повинно бути
використовуватися, лише якщо служба брандмауера не запущена. Наприклад, мігрувати з
system-config-firewall/lokkit або в середовищі встановлення, щоб налаштувати параметри брандмауера
з кікстартом.
Деякі параметри lokkit не можуть бути автоматично конвертовані для брандмауера, вони призведуть до
повідомлення про помилку або попередження. Цей інструмент намагається конвертувати якомога більше, але є
обмеження, наприклад, із користувацькими правилами, модулями та маскуванням.
Перевірте конфігурацію брандмауера після використання цього інструменту.
ВАРІАНТИ
Якщо параметри не вказані, конфігурація з /etc/sysconfig/system-config-firewall буде
мігрував.
Підтримуються такі параметри:
Документи Опції
-h, --допомога
Друкує короткий текст довідки та існує.
Статус Опції
--увімкнено
Увімкніть брандмауер. Цей параметр є параметром за замовчуванням і активує брандмауер, якщо
ще не ввімкнено, доки ця опція --інвалід не дається.
--інвалід
Вимкніть брандмауер, вимкнувши службу брандмауера.
Lokkit Сумісність Опції
Ці варіанти майже ідентичні варіантам lokkit.
--додати модуль=Модулі
Ця опція призведе до попередження, яке буде проігноровано.
Обробка помічників netfilter була повністю об'єднана в сервіси. Додавання або
Тому видалення помічників netfilter за межами служб більше не потрібно. Для
більше інформації про роботу з помічниками netfilter у службах, будь ласка, перегляньте
firewalld.zone(5).
--видалити модуль
Ця опція призведе до попередження, яке буде проігноровано.
Обробка помічників netfilter була повністю об'єднана в сервіси. Додавання або
Тому видалення помічників netfilter за межами служб більше не потрібно. Для
більше інформації про роботу з помічниками netfilter у службах, будь ласка, перегляньте
firewalld.zone(5).
--remove-сервіс=обслуговування
Видалити службу із зони за замовчуванням. Цей параметр можна вказати кілька разів.
Послуга є однією з послуг, які надає брандмауер. Щоб отримати список підтримуваних
послуги, користування firewall-cmd --get-послуги.
-s обслуговування, --обслуговування=обслуговування
Додайте послугу до зони за замовчуванням. Цей параметр можна вказати кілька разів.
Послуга є однією з послуг, які надає брандмауер. Щоб отримати список підтримуваних
послуги, користування firewall-cmd --get-послуги.
-p портід[-портід]:протокол, --порт=портід[-портід]:протокол
Додайте порт до зони за замовчуванням. Цей параметр можна вказати кілька разів.
Порт може бути як одним номером порту, так і діапазоном портів портід-портід,
протокол може бути тпп or udp.
-t інтерфейс, --довіра=інтерфейс
Цей параметр призведе до попередження.
Позначте інтерфейс як надійний. Цей параметр можна вказати кілька разів. The
інтерфейс буде прив’язаний до довіреної зони.
Якщо інтерфейс використовується в керованому з’єднанні NetworkManager або якщо є
ifcfg для цього інтерфейсу, зона буде змінена на зону, визначену в
конфігурації, щойно вона буде активована. Щоб змінити зону з'єднання, використовуйте
nm-connection-editor і встановіть зону як надійну, для файлу ifcfg скористайтеся редактором і
додати "ZONE=trusted". Якщо зона не визначена у файлі ifcfg, брандмауер
буде використана зона за замовчуванням.
-m інтерфейс, --маска=інтерфейс
Цей параметр призведе до попередження.
У зоні за замовчуванням буде ввімкнено маскарад. Аргумент інтерфейсу буде
ігнорується. Це для IPv4 тільки.
--звичайні правила=[тип:][таблиця:]ім'я файлу
Ця опція призведе до попередження, яке буде проігноровано.
Файли спеціальних правил не підтримуються firewalld.
--forward-порт=якщо=інтерфейс:порт=порт:прото=протокол[:топорт=призначення
порт:][:toaddr=призначення адреса]
Цей параметр призведе до попередження.
Додати IPv4 перенаправити порт у зоні за замовчуванням. Цю опцію можна вказати декілька
раз.
Порт може бути одним номером порту портід або діапазон портів портід-портід,
протокол може бути тпп or udp. Адреса призначення – це IP-адреса.
--block-icmp=icmptype
Цей параметр призведе до попередження.
Додайте блок ICMP для icmptype у зоні за замовчуванням. Цей параметр можна вказати
кілька разів.
Команда icmptype є одним із типів icmp, які підтримує брандмауер. Щоб отримати список
підтримувані типи icmp: firewall-cmd --get-icmptypes
зона Опції
--get-default-zone
Роздрукувати зону за замовчуванням для підключень та інтерфейсів.
--set-default-zone=зона
Встановити зону за замовчуванням для підключень та інтерфейсів, де не було вибрано жодної зони.
Встановлення зони за замовчуванням змінює зону для підключень або інтерфейсів, тобто
використовуючи зону за замовчуванням.
--get-зони
Надрукуйте попередньо визначені зони у вигляді списку, розділеного пробілами.
--get-послуги
Надрукуйте попередньо визначені послуги у вигляді списку, розділеного пробілами.
--get-icmptypes
Надрукуйте попередньо визначені типи icmp у вигляді списку, розділеного пробілами.
--get-zone-of-interface=інтерфейс
Надрукуйте назву зони інтерфейс пов'язаний з або немає зона.
--get-zone-of-source=джерело[/маска]
Надрукуйте назву зони джерело[/маска] прив'язаний до або немає зона.
--info-zone=зона
Роздрукувати інформацію про зону зона. Формат виведення такий:
зона
інтерфейси: інтерфейс1 ..
джерела: джерело1 ..
послуги: сервіс1 ..
порти: port1 ..
протоколи: протокол 1 ..
передні-порти:
вперед-порт1
..
ICMP-блоки: icmp-type1 ..
багаті правила:
rich-rule1
..
--список усіх зон
Перерахуйте все, що додано або ввімкнено в усіх зонах. Формат виведення такий:
zone1
інтерфейси: інтерфейс1 ..
джерела: джерело1 ..
послуги: сервіс1 ..
порти: port1 ..
протоколи: протокол 1 ..
передні-порти:
вперед-порт1
..
ICMP-блоки: icmp-type1 ..
багаті правила:
rich-rule1
..
..
--нова зона=зона
Додайте нову постійну зону.
--delete-zone=зона
Видалити існуючу постійну зону.
--зона=зона --get-target
Отримайте ціль постійної зони.
--зона=зона --set-target=зона
Встановіть ціль постійної зони.
Опції до адаптуватися та Запит Зони
Параметри в цьому розділі впливають лише на одну конкретну зону. Якщо використовується з --зона=зона варіант
вони впливають на зону зона. Якщо параметр пропущено, вони впливають на зону за замовчуванням (див
--get-default-zone).
[--зона=зона] --список-всі
Перерахуйте все, що додано або ввімкнено зона. Якщо зона опущена, буде зона за замовчуванням
використаний
[--зона=зона] --список-послуг
Список служб, доданих для зона у вигляді списку, розділеного пробілами. Якщо зона опущена, за замовчуванням
буде використана зона.
[--зона=зона] --додаткова послуга=обслуговування
Додайте послугу для зона. Якщо зона опущена, буде використана зона за замовчуванням. Цей варіант може
бути вказано кілька разів.
Послуга є однією з послуг, які надає брандмауер. Щоб отримати список підтримуваних
послуги, користування firewall-cmd --get-послуги.
[--зона=зона] --remove-service-from-zone=обслуговування
Видалити службу з зона. Цю опцію можна вказати кілька разів. Якщо зона є
опущено, буде використана зона за замовчуванням.
[--зона=зона] --запит-сервіс=обслуговування
Повернути чи обслуговування було додано для зона. Якщо зона опущена, буде зона за замовчуванням
бути використаним. Повертає 0, якщо правда, 1 інакше.
[--зона=зона] --список портів
Список портів, доданих для зона у вигляді списку, розділеного пробілами. Порт має форму
портід[-портід]/протокол, це може бути пара портів і протоколів або діапазон портів
з протоколом. Якщо зона опущена, буде використана зона за замовчуванням.
[--зона=зона] --add-port=портід[-портід]/протокол
Додайте порт для зона. Якщо зона опущена, буде використана зона за замовчуванням. Цей варіант може
бути вказано кілька разів.
Порт може бути як одним номером порту, так і діапазоном портів портід-портід,
протокол може бути тпп or udp.
[--зона=зона] --remove-порт=портід[-портід]/протокол
Видаліть порт з зона. Якщо зона опущена, буде використана зона за замовчуванням. Цей варіант
можна вказати кілька разів.
[--зона=зона] -- порт запиту=портід[-портід]/протокол
Повернути, чи додано порт для зона. Якщо зона опущена, буде зона за замовчуванням
бути використаним. Повертає 0, якщо правда, 1 інакше.
[--зона=зона] --список-протоколи
Список протоколів, доданих для зона у вигляді списку, розділеного пробілами. Якщо зона опущена, за замовчуванням
буде використана зона.
[--зона=зона] --протокол додавання=протокол
Додайте протокол для зона. Якщо зона опущена, буде використана зона за замовчуванням. Цей варіант
можна вказати кілька разів. Якщо вказано тайм-аут, правило буде активним для
зазначений проміжок часу і згодом буде автоматично видалено. timeval is
або число (секунд) або число, за яким слідує один із символів s (секунди), m
(хвилини), h (години), наприклад 20m or 1h.
Протоколом може бути будь-який протокол, який підтримується системою. Будь ласка, подивіться
/ etc / protocols для підтримуваних протоколів.
[--зона=зона] --remove-protcol=протокол
Видаліть протокол з зона. Якщо зона опущена, буде використана зона за замовчуванням. Це
опцію можна вказати кілька разів.
[--зона=зона] --запит-протокол=протокол
Повернути, чи додано протокол для зона. Якщо зона опущена, зона за замовчуванням
буде використано. Повертає 0, якщо правда, 1 інакше.
[--зона=зона] --list-icmp-blocks
Перелік доданих блоків типу Internet Control Message Protocol (ICMP). зона як простір
відокремлений список. Якщо зона опущена, буде використана зона за замовчуванням.
[--зона=зона] --add-icmp-блок=icmptype
Додайте блок ICMP для icmptype та цінності зона. Якщо зона опущена, буде зона за замовчуванням
використаний. Цю опцію можна вказати кілька разів.
Команда icmptype є одним із типів icmp, які підтримує брандмауер. Щоб отримати список
підтримувані типи icmp: firewall-cmd --get-icmptypes
[--зона=зона] --remove-icmp-block=icmptype
Видаліть блок ICMP для icmptype від зона. Якщо зона опущена, буде зона за замовчуванням
використаний. Цю опцію можна вказати кілька разів.
[--зона=зона] --query-icmp-блок=icmptype
Повернути, чи для блоку ICMP icmptype було додано для зона. Якщо зона опущена,
буде використана зона за замовчуванням. Повертає 0, якщо правда, 1 інакше.
[--зона=зона] --list-forward-ports
список IPv4 передні порти додано для зона у вигляді списку, розділеного пробілами. Якщо зона опущена,
буде використана зона за замовчуванням.
для IPv6 переадресовувати порти, будь ласка, використовуйте розширену мову.
[--зона=зона]
--add-forward-port=порт=портід[-портід]:прото=протокол[:топорт=портід[-портід]][:toaddr=адреса[/маска]]
Додати IPv4 передній порт для зона. Якщо зона опущена, буде використана зона за замовчуванням.
Цю опцію можна вказати кілька разів.
Порт може бути одним номером порту портід або діапазон портів портід-портід,
протокол може бути тпп or udp. Адреса призначення — це проста IP-адреса.
для IPv6 переадресовувати порти, будь ласка, використовуйте розширену мову.
[--зона=зона]
--remove-forward-port=порт=портід[-портід]:прото=протокол[:топорт=портід[-портід]][:toaddr=адреса[/маска]]
Видалити IPv4 передній порт від зона. Якщо зона опущена, буде використана зона за замовчуванням.
Цю опцію можна вказати кілька разів.
для IPv6 переадресовувати порти, будь ласка, використовуйте розширену мову.
[--зона=зона]
--query-forward-port=порт=портід[-портід]:прото=протокол[:топорт=портід[-портід]][:toaddr=адреса[/маска]]
Повернути чи IPv4 додано порт пересилання для зона. Якщо зона опущена,
буде використана зона за замовчуванням. Повертає 0, якщо правда, 1 інакше.
для IPv6 переадресовувати порти, будь ласка, використовуйте розширену мову.
[--зона=зона] --додати-маскарад
включити IPv4 маскарад для зона. Якщо зона опущена, буде використана зона за замовчуванням.
Маскування корисно, якщо машина є маршрутизатором, а машини підключені через
інтерфейс в іншій зоні повинен мати можливість використовувати перше з'єднання.
для IPv6 маскарад, будь ласка, використовуйте розширену мову.
[--зона=зона] --зняти-маскарад
Забороняти IPv4 маскарад для зона. Якщо зона опущена, буде використана зона за замовчуванням.
для IPv6 маскарад, будь ласка, використовуйте розширену мову.
[--зона=зона] --запит-маскарад
Повернути чи IPv4 маскарад увімкнено для зона. Якщо зона опущена,
буде використана зона за замовчуванням. Повертає 0, якщо правда, 1 інакше.
для IPv6 маскарад, будь ласка, використовуйте розширену мову.
[--зона=зона] --list-rich-rules
Список правил розширеної мови, доданих для зона як список, розділений новим рядком. Якщо зона є
опущено, буде використана зона за замовчуванням.
[--зона=зона] --правило add-rich-='правити'
Додати правило розширеної мови "правити'для зона. Цю опцію можна вказати кілька разів.
Якщо зона опущена, буде використана зона за замовчуванням.
Щоб дізнатися більше про синтаксис правил мови, подивіться firewalld.richlanguage(5).
[--зона=зона] --remove-rich-rule='правити'
Видалити правило розширеної мови "правити'від зона. Цю опцію можна вказати декілька
разів. Якщо зона опущена, буде використана зона за замовчуванням.
Щоб дізнатися більше про синтаксис правил мови, подивіться firewalld.richlanguage(5).
[--зона=зона] --query-rich-rule='правити'
Повернути, чи є правило розширеної мови 'правити' додано для зона. Якщо зона є
опущено, буде використана зона за замовчуванням. Повертає 0, якщо правда, 1 інакше.
Щоб дізнатися більше про синтаксис правил мови, подивіться firewalld.richlanguage(5).
Опції до Handle палітурки of інтерфейси
Прив’язка інтерфейсу до зони означає, що параметри цієї зони використовуються для обмеження трафіку
через інтерфейс.
Параметри в цьому розділі впливають лише на одну конкретну зону. Якщо використовується з --зона=зона варіант
вони впливають на зону зона. Якщо параметр пропущено, вони впливають на зону за замовчуванням (див
--get-default-zone).
Для списку попередньо визначених зон використовуйте firewall-cmd --get-зони.
Ім’я інтерфейсу – це рядок довжиною до 16 символів, який може не містити ' ', '/', '!'
та '*'.
[--зона=зона] --list-інтерфейси
Перелік інтерфейсів, які прив’язані до зони зона у вигляді списку, розділеного пробілами. Якщо зона є
опущено, буде використана зона за замовчуванням.
[--зона=зона] --інтерфейс додавання=інтерфейс
Інтерфейс прив'язки інтерфейс до зони зона. Якщо зона опущена, буде використана зона за замовчуванням.
[--зона=зона] --інтерфейс зміни=інтерфейс
Змінити зону інтерфейсу інтерфейс прив'язаний до зони зона. Якщо зона опущена,
буде використана зона за замовчуванням. Якщо стара та нова зона збігаються, дзвінок буде проігноровано
без помилки. Якщо інтерфейс раніше не був прив’язаний до зони, він працюватиме
як --інтерфейс додавання.
[--зона=зона] --інтерфейс запиту=інтерфейс
Запит на інтерфейс інтерфейс прив'язаний до зони зона. Повертає 0, якщо правда, 1
інакше.
[--зона=зона] --remove-інтерфейс=інтерфейс
Видаліть прив’язку інтерфейсу інтерфейс із зони зона. Якщо зона опущена, зона за замовчуванням
буде використовуватися.
Опції до Handle палітурки of Джерела
Прив’язка джерела до зони означає, що ці параметри зони будуть використовуватися для обмеження трафіку
з цього джерела.
Адреса джерела або діапазон адрес – це або IP-адреса, або IP-адреса мережі з a
маска для IPv4 або IPv6 або MAC-адреса (без маски). Для IPv4 маска може бути маскою мережі
або звичайне число. Для IPv6 маскою є звичайне число. Використання імен хостів не є
підтримується.
Параметри в цьому розділі впливають лише на одну конкретну зону. Якщо використовується з --зона=зона варіант
вони впливають на зону зона. Якщо параметр пропущено, вони впливають на зону за замовчуванням (див
--get-default-zone).
Для списку попередньо визначених зон використовуйте firewall-cmd --get-зони.
[--зона=зона] --список джерел
Перелік джерел, які прив’язані до зони зона у вигляді списку, розділеного пробілами. Якщо зона є
опущено, буде використана зона за замовчуванням.
[--зона=зона] --додати джерело=джерело[/маска]
Прив’язати джерело джерело[/маска] до зони зона. Якщо зона опущена, буде використана зона за замовчуванням.
[--зона=зона] --змінити джерело=джерело[/маска]
Змінити зону джерела джерело[/маска] прив'язаний до зони зона. Якщо зона опущена,
буде використана зона за замовчуванням. Якщо стара та нова зона збігаються, дзвінок буде проігноровано
без помилки. Якщо джерело раніше не було прив’язане до зони, воно буде вести себе
як --додати джерело.
[--зона=зона] -- джерело запиту=джерело[/маска]
Запит на джерело джерело[/маска] прив'язано до зони зона. Повертає 0, якщо правда, 1
інакше.
[--зона=зона] --remove-джерело=джерело[/маска]
Видаліть прив’язку джерела джерело[/маска] із зони зона. Якщо зона опущена, за замовчуванням
буде використана зона.
IPSet Опції
--новий-ipset=ipset --тип=ipset тип [--варіант=ipset варіант[=значення]]
Додайте новий постійний ipset із зазначенням типу та необов’язкових параметрів.
--delete-ipset=ipset
Видалити наявний постійний ipset.
--info-ipset=ipset
Роздрукуйте інформацію про ipset ipset. Формат виведення такий:
ipset
Тип: тип
опції: варіант1[=значення1] ..
записи: запис 1 ..
--get-ipsets
Надрукуйте попередньо визначені ipsets як список, розділений пробілом.
--ipset=ipset --додати-запис=запис
Додайте новий запис до ipset.
--ipset=ipset --прибрати-запис=запис
Видаліть запис із ipset.
--ipset=ipset --запит-введення=запис
Повернути, чи був запис доданий до ipset. Повертає 0, якщо правда, 1 інакше.
--ipset=ipset --get-entries
Перелік усіх записів ipset.
Обслуговування Опції
--info-service=обслуговування
Роздрукувати інформацію про послугу обслуговування. Формат виведення такий:
обслуговування
порти: port1 ..
протоколи: протокол 1 ..
модулі: module1 ..
призначення: ipv1:адреса 1 ..
--нова послуга=обслуговування
Додайте нову постійну послугу.
--служба видалення=обслуговування
Видалити наявну постійну службу.
--обслуговування=обслуговування --add-port=портід[-портід]/протокол
Додайте новий порт до постійної служби.
--обслуговування=обслуговування --remove-порт=портід[-портід]/протокол
Вилучіть порт із постійної служби.
--обслуговування=обслуговування -- порт запиту=портід[-портід]/протокол
Повернути, чи порт додано до постійної служби.
--обслуговування=обслуговування --get-ports
Список портів, доданих до постійної служби.
--обслуговування=обслуговування --протокол додавання=протокол
Додати новий протокол до постійної служби.
--обслуговування=обслуговування --remove-протокол=протокол
Видалити протокол із постійної служби.
--обслуговування=обслуговування --запит-протокол=протокол
Поверніть, чи протокол додано до постійної служби.
--обслуговування=обслуговування --get-протоколи
Список протоколів, доданих до постійної служби.
--обслуговування=обслуговування --додавання-модуль=Модулі
Додати новий модуль до постійної служби.
--обслуговування=обслуговування --remove-module=Модулі
Видаліть модуль із постійної служби.
--обслуговування=обслуговування -- модуль запиту=Модулі
Повернути, чи додано модуль до постійної служби.
--обслуговування=обслуговування --get-модулі
Список модулів, доданих до постійної служби.
--обслуговування=обслуговування --add-destination=ipv:адреса[/маска]
Встановити призначення для ipv на адресу[/mask] у постійній службі.
--обслуговування=обслуговування --remove-destination=ipv
Видаліть пункт призначення для ipv із постійної служби.
--обслуговування=обслуговування --запит-призначення=ipv:адреса[/маска]
Повернути, чи встановлено IPV призначення до адреси[/mask] у постійному
обслуговування.
--обслуговування=обслуговування --get-пункти призначення
Перелік місць призначення, доданих до постійної служби.
інтернет Контроль Повідомлення протокол (ICMP) тип Опції
--info-icmptype=icmptype
Роздрукуйте інформацію про icmptype icmptype. Формат виведення такий:
icmptype
призначення: ipv1 ..
--новий-icmptype=icmptype
Додайте новий постійний icmptype.
--delete-icmptype=icmptype
Видалити наявний постійний icmptype.
--icmptype=icmptype --add-destination=ipv
Увімкнути призначення для ipv у постійному icmptype. ipv є одним з ipv4 or ipv6.
--icmptype=icmptype --remove-destination=ipv
Вимкнути призначення для ipv у постійному icmptype. ipv є одним з ipv4 or ipv6.
--icmptype=icmptype --запит-призначення=ipv
Повернути, чи ввімкнено призначення для ipv у постійному icmptype. ipv є одним з
ipv4 or ipv6.
--icmptype=icmptype --get-пункти призначення
Перелік місць призначення в постійному icmptype.
прямий Опції
Прямі параметри надають більш прямий доступ до брандмауера. Ці параметри вимагають від користувача
знати основні поняття iptables, тобто таблиця (фільтр/mangle/nat/...), ланцюг
(ВХІД/ВИВІД/НАПЕРЕД/...), Команди (-A/-D/-I/...), параметри (-p/-s/-d/-j/...) і
цілі (ПРИЙНЯТИ/ВІДХОДИТИ/Відхилити/...).
Прямі опції слід використовувати лише в крайньому випадку, коли їх неможливо використовувати для
приклад --додаткова послуга=обслуговування or --правило add-rich-='правити'.
Перший аргумент кожного варіанта має бути ipv4 or ipv6 or eb. З ipv4 це буде для
IPv4 (Iptables(8)), с ipv6 для IPv6 (ip6tables(8)) і з eb для мостів Ethernet
(ebtables(8)).
--прямий --get-all-chains
Додати всі ланцюжки до всіх таблиць.
Цей параметр стосується лише ланцюжків, доданих раніше --прямий --додавання ланцюга.
--прямий --get-ланцюги { ipv4 | ipv6 | eb } таблиця
Додати всі ланцюжки до таблиці таблиця у вигляді списку, розділеного пробілами.
Цей параметр стосується лише ланцюжків, доданих раніше --прямий --додавання ланцюга.
--прямий --додавання ланцюга { ipv4 | ipv6 | eb } таблиця ланцюг
Додайте новий ланцюжок з назвою ланцюг до столу таблиця.
Вже існують базові ланцюжки для використання, наприклад, із прямими параметрами INPUT_direct
ланцюг (див iptables-збереження | GREP прямий вихід для всіх). Ці ланцюги є
стрибнув у перед ланцюжками для зон, тобто кожне правило, в яке введено INPUT_direct буде
перевірено перед правилами в зонах.
--прямий --remove-ланцюг { ipv4 | ipv6 | eb } таблиця ланцюг
Зніміть ланцюжок з назвою ланцюг зі столу таблиця.
--прямий --ланцюжок запитів { ipv4 | ipv6 | eb } таблиця ланцюг
Повернути чи ланцюжок з назвою ланцюг існує в табл таблиця. Повертає 0, якщо правда, 1
інакше.
Цей параметр стосується лише ланцюжків, доданих раніше --прямий --додавання ланцюга.
--прямий --отримати-всі-правила
Отримати всі правила, додані до всіх ланцюжків у всіх таблицях у вигляді розділеного нового рядка списку
пріоритет і аргументи.
--прямий --get-правила { ipv4 | ipv6 | eb } таблиця ланцюг
Додайте всі правила до ланцюга ланцюг в табл таблиця як список, розділений новим рядком
пріоритет і аргументи.
--прямий --додати-правило { ipv4 | ipv6 | eb } таблиця ланцюг пріоритет аргументи
Додайте правило з аргументами аргументи ланцюжком ланцюг в табл таблиця з пріоритетом
пріоритет.
Команда пріоритет використовується для впорядкування правил. Пріоритет 0 означає додати правило на вершину ланцюга,
з вищим пріоритетом правило буде додано нижче. Правила з тими ж
пріоритети знаходяться на одному рівні і порядок цих правил не фіксований і може
змінити. Якщо ви хочете переконатися, що правило буде додано після іншого, використовуйте a
низький пріоритет для першого і вищий для наступного.
--прямий --remove-правило { ipv4 | ipv6 | eb } таблиця ланцюг пріоритет аргументи
Видалити правило за допомогою пріоритет і аргументи аргументи з ланцюга ланцюг в табл таблиця.
--прямий --remove-правила { ipv4 | ipv6 | eb } таблиця ланцюг
Видалити всі правила в ланцюжку з назвою ланцюг існує в табл таблиця.
Ця опція стосується лише раніше доданих правил --прямий --додати-правило В цьому
ланцюжок.
--прямий --правило запиту { ipv4 | ipv6 | eb } таблиця ланцюг пріоритет аргументи
Повернути чи правило з пріоритет і аргументи аргументи існує ланцюжком ланцюг in
таблиця таблиця. Повертає 0, якщо правда, 1 інакше.
--прямий --get-all-passthroughs
Отримати весь постійний перехід у вигляді розділеного нового рядка списку значення ipv і
аргументів.
--прямий --get-passthroughs { ipv4 | ipv6 | eb }
Отримайте всі правила постійного проходження для значення ipv у вигляді списку, розділеного новим рядком
пріоритет і аргументи.
--прямий --add-passthrough { ipv4 | ipv6 | eb } аргументи
Додайте постійне правило передачі з аргументами аргументи для значення ipv.
--прямий --remove-passthrough { ipv4 | ipv6 | eb } аргументи
Видаліть постійне правило передачі з аргументами аргументи для значення ipv.
--прямий --query-passthrough { ipv4 | ipv6 | eb } аргументи
Поверніть, чи є постійне правило передачі з аргументами аргументи існує для ipv
значення. Повертає 0, якщо правда, 1 інакше.
Lockdown Опції
Локальні програми або служби можуть змінювати конфігурацію брандмауера, якщо так
запускаються як root (наприклад: libvirt) або автентифікуються за допомогою PolicyKit. За допомогою цієї функції
адміністратори можуть заблокувати конфігурацію брандмауера, щоб лише програми були заблоковані
білий список може запитувати зміни брандмауера.
Перевірка доступу блокування обмежує методи D-Bus, які змінюють правила брандмауера. запит,
Список і методи отримання не обмежені.
Функція блокування — це дуже спрощена версія політики користувачів і програм
firewalld і вимкнено за замовчуванням.
--блокування ввімкнено
Увімкнути блокування. Будьте обережні – якщо firewall-cmd не входить у білий список блокування, коли ви
увімкніть блокування, ви не зможете вимкнути його знову за допомогою firewall-cmd
потрібно відредагувати firewalld.conf.
--блокування вимкнено
Вимкніть блокування.
--запит-блокування
Запитайте, чи ввімкнено блокування. Повертає 0, якщо блокування ввімкнено, 1 — інакше.
Lockdown Білий Опції
Білий список блокування може містити Команди, контексти, користувачі та користувач ідентифікатори.
Якщо запис команди в білому списку закінчується зірочкою «*», тоді всі командні рядки
починаючи з команди буде відповідати. Якщо '*' немає, абсолютна команда
інклюзивні аргументи повинні збігатися.
Команди для користувача root та інших не завжди однакові. Приклад: як root
/bin/firewall-cmd використовується як звичайний користувач /usr/bin/firewall-cmd використовується на Fedora.
Контекст — це контекст безпеки (SELinux) запущеної програми або служби. Отримати
контекст використання запущеної програми ps -e --контекст.
Увага! Якщо контекст не обмежений, то це відкриє доступ більше ніж для
бажане застосування.
Записи білого списку блокування перевіряються в такому порядку:
1. контекст
2. UID
3. користувач
4. команда
--list-lockdown-whitelist-commands
Перелік усіх командних рядків, які є в білому списку.
--add-lockdown-whitelist-command=команда
Додати команда до білого списку.
--remove-lockdown-whitelist-command=команда
Видалити команда з білого списку.
--query-lockdown-whitelist-command=команда
Запитайте, чи є команда знаходиться в білому списку. Повертає 0, якщо правда, 1 інакше.
--list-lockdown-whitelist-contexts
Перелік усіх контекстів, які є в білому списку.
--add-lockdown-whitelist-context=контекст
Додайте контекст контекст до білого списку.
--remove-lockdown-whitelist-context=контекст
Видалити контекст з білого списку.
--query-lockdown-whitelist-context=контекст
Запитайте, чи є контекст знаходиться в білому списку. Повертає 0, якщо правда, 1 інакше.
--list-lockdown-whitelist-uids
Перелік усіх ідентифікаторів користувачів, які є в білому списку.
--add-lockdown-whitelist-uid=UID
Додайте ідентифікатор користувача UID до білого списку.
--remove-lockdown-whitelist-uid=UID
Видаліть ідентифікатор користувача UID з білого списку.
--query-lockdown-whitelist-uid=UID
Запит, чи є ідентифікатор користувача UID знаходиться в білому списку. Повертає 0, якщо правда, 1 інакше.
--list-lockdown-whitelist-users
Перелік усіх імен користувачів, які є в білому списку.
--add-lockdown-whitelist-user=користувач
Додайте ім’я користувача користувач до білого списку.
--remove-lockdown-whitelist-user=користувач
Видаліть ім’я користувача користувач з білого списку.
--query-lockdown-whitelist-user=користувач
Запит на ім’я користувача користувач знаходиться в білому списку. Повертає 0, якщо правда, 1 інакше.
політика Опції
-- політик-сервер
Змінити дії Polkit на "сервер" (більш обмежений)
--policy-desktop
Змінити дії Polkit на «настільний» (менш обмежений)
Використовуйте firewall-offline-cmd онлайн за допомогою служб onworks.net
