这是命令 firewall-cmd 可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
firewall-cmd - firewalld 命令行客户端
概要
防火墙-cmd [选项...]
商品描述
firewall-cmd 是 firewalld 守护进程的命令行客户端。 它提供接口
管理运行时和永久配置。
firewalld 中的运行时配置与永久配置分开。 这个
意味着可以在运行时或永久配置中更改内容。
配置
支持以下选项:
一般用途总体评估 可选项
-h, - 帮帮我
打印简短的帮助文本并退出。
-V, - 版
打印 firewalld 的版本字符串。 此选项不可与其他选项结合使用
选项。
-q, - 安静的
不要打印状态消息。
状态 可选项
- 状态
检查 firewalld 守护进程是否处于活动状态(即正在运行)。 返回退出代码 0 如果
它是活跃的, 不运行 否则(请参阅“退出代码”部分)。 这会
还将状态打印到 标准输出.
--重新加载
重新加载防火墙规则并保留状态信息。 当前的永久配置将
成为新的运行时配置,即所有运行时仅在重新加载之前所做的更改
如果它们还没有处于永久配置中,则重新加载会丢失。
--完全重新加载
完全重新加载防火墙,甚至是 netfilter 内核模块。 这很可能
终止活动连接,因为状态信息丢失。 这个选项应该
仅在出现严重防火墙问题的情况下使用。 例如,如果有状态
无法与正确的防火墙建立连接的信息问题
规则。
--运行时到永久
保存活动的运行时配置并用它覆盖永久配置。 这
这应该起作用的方式是,在配置 firewalld 时,您会进行运行时更改
只有当您对配置感到满意并测试它的工作方式时
你想要,你将配置保存到磁盘。
--获取日志被拒绝
打印日志拒绝设置。
--设置日志拒绝=折扣值
在 INPUT、FORWARD 和 OUTPUT 中的拒绝和删除规则之前添加日志记录规则
默认规则链以及区域中的最终拒绝和丢弃规则
配置的链路层数据包类型。 可能的值为: 所有, 单播, 播放,
组播 和 折扣。 默认设置是 折扣, 禁用日志记录。
这是一个运行时和永久性更改,还将重新加载防火墙以便能够
添加日志记录规则。
常驻 可选项
- 永恒的
永久选项 - 永恒的 可用于永久设置选项。 这些变化
不会立即生效,只有在服务重启/重新加载或系统重启后才会生效。
没有 - 永恒的 选项,更改将仅是运行时的一部分
组态。
如果要更改运行时和永久配置,请使用相同的调用
有和没有 - 永恒的 选项。
这个 - 永恒的 选项可以选择性地添加到所有选项中进一步向下的位置
支持的。
区 可选项
--获取默认区域
打印连接和接口的默认区域。
--设置默认区域=区
为未选择区域的连接和接口设置默认区域。
设置默认区域会更改连接或接口的区域,即
使用默认区域。
这是一个运行时和永久性更改。
--获取活动区域
使用这些中使用的接口和源一起打印当前活动的区域
区。 活动区域是绑定到接口或源的区域。 这
输出格式为:
zone1
接口: 接口1 接口2 ..
来源: source1 ..
zone2
接口: 接口3 ..
zone3
来源: source2 ..
如果没有绑定到该区域的接口或源,则对应的线路将
被省略。
[- 永恒的] --获取区域
将预定义区域打印为空格分隔列表。
[- 永恒的] --获取服务
将预定义服务打印为空格分隔列表。
[- 永恒的] --获取 icmp 类型
将预定义的 icmptypes 打印为空格分隔的列表。
[- 永恒的] --获取接口区域=接口
打印区域名称 接口 绑定到或 没有 区.
[- 永恒的] --获取源区域=资源[/面膜]
打印区域名称 资源[/面膜] 绑定到或 没有 区.
[- 永恒的] --信息区=区
打印有关区域的信息 区. 输出格式为:
区
接口: 接口1 ..
来源: source1 ..
服务: service1 ..
端口: 端口1 ..
协议: 协议1 ..
前向端口:
转发端口 1
..
icmp-blocks: icmp-类型1 ..
丰富的规则:
丰富的规则1
..
[- 永恒的] --列出所有区域
列出为所有区域添加或启用的所有内容。 输出格式为:
zone1
接口: 接口1 ..
来源: source1 ..
服务: service1 ..
端口: 端口1 ..
协议: 协议1 ..
前向端口:
转发端口 1
..
icmp-blocks: icmp-类型1 ..
丰富的规则:
丰富的规则1
..
..
- 永恒的 --新区=区
添加一个新的永久区域。
- 永恒的 --删除区域=区
删除现有的永久区域。
- 永恒的 [- 区=区] --获取目标
获得永久区域的目标。
- 永恒的 [- 区=区] --设置目标=目标
设置永久区域的目标。 目标 是其中之一: 默认, 接受, 下降, 拒绝
可选项 至 适应 和 询问 区
本节中的选项仅影响一个特定区域。 如果与 - 区=区 选项,
他们影响区域 区. 如果省略该选项,它们会影响默认区域(请参阅
--获取默认区域).
[- 永恒的[- 区=区] --列出全部
列出添加或启用的所有内容 区. 如果区域被省略,默认区域将是
用过的。
[- 永恒的[- 区=区] --列表服务
列出添加的服务 区 作为空格分隔的列表。 如果省略 zone,则默认
区将被使用。
[- 永恒的[- 区=区] --添加服务=服务 [- 暂停=时间值]
添加服务 区. 如果省略 zone,则将使用默认 zone。 这个选项可以
被指定多次。 如果提供超时,则规则将在
指定的时间,之后将自动删除。 时间值 is
一个数字(秒)或数字后跟一个字符 s (秒), m
(分钟), h (小时),例如 20 m or 1h.
该服务是 firewalld 提供的服务之一。 获取支持的列表
服务,使用 防火墙-cmd --获取服务.
这个 - 暂停 选项不能与 - 永恒的 选项。
[- 永恒的[- 区=区] --删除服务=服务
从中删除服务 区. 可以多次指定此选项。 如果区域是
省略,将使用默认区域。
[- 永恒的[- 区=区] --查询服务=服务
返回是否 服务 已添加 区. 如果区域被省略,默认区域将
使用。 如果为真则返回 0,否则返回 1。
[- 永恒的[- 区=区] --list-端口
列出添加的端口 区 作为空格分隔的列表。 端口的形式为
端口号[-端口号]/协议, 它可以是端口和协议对或端口范围
与协议。 如果省略 zone,则将使用默认 zone。
[- 永恒的[- 区=区] --添加端口=端口号[-端口号]/协议 [- 暂停=时间值]
添加端口 区. 如果省略 zone,则将使用默认 zone。 这个选项可以
被指定多次。 如果提供超时,则规则将在
指定的时间,之后将自动删除。 时间值 is
一个数字(秒)或数字后跟一个字符 s (秒), m
(分钟), h (小时),例如 20 m or 1h.
端口可以是单个端口号或端口范围 端口号-端口号。 该
协议可以是 TCP or UDP.
这个 - 暂停 选项不能与 - 永恒的 选项。
[- 永恒的[- 区=区] --删除端口=端口号[-端口号]/协议
移除端口 区. 如果省略 zone,则将使用默认 zone。 这个选项
可以多次指定。
[- 永恒的[- 区=区] --查询端口=端口号[-端口号]/协议
返回端口是否已添加 区. 如果区域被省略,默认区域将
使用。 如果为真则返回 0,否则返回 1。
[- 永恒的[- 区=区] --list-协议
列出添加的协议 区 作为空格分隔的列表。 如果省略 zone,则默认
区将被使用。
[- 永恒的[- 区=区] --添加协议=协议 [- 暂停=时间值]
添加协议 区. 如果省略 zone,则将使用默认 zone。 这个选项
可以多次指定。 如果提供超时,则规则将在以下时间有效
指定的时间量,之后将自动删除。 时间值 is
一个数字(秒)或数字后跟一个字符 s (秒), m
(分钟), h (小时),例如 20 m or 1h.
协议可以是系统支持的任何协议。 请看看
/ etc /协议 对于支持的协议。
这个 - 暂停 选项不能与 - 永恒的 选项。
[- 永恒的[- 区=区] --删除协议=协议
删除协议 区. 如果省略 zone,则将使用默认 zone。 这个
可以多次指定选项。
[- 永恒的[- 区=区] --查询协议=协议
返回协议是否已添加 区. 如果省略区域,则默认区域
将会被使用。 如果为真则返回 0,否则返回 1。
[- 永恒的[- 区=区] --列表 icmp 块
列出添加的 Internet 控制消息协议 (ICMP) 类型块 区 作为空间
分隔列表。 如果省略 zone,则将使用默认 zone。
[- 永恒的[- 区=区] --add-icmp-块=icmp类型 [- 暂停=时间值]
添加一个 ICMP 块 icmp类型 HPMC胶囊 区. 如果区域被省略,默认区域将是
用过的。 可以多次指定此选项。 如果提供超时,则规则
将在指定的时间内处于活动状态并将自动删除
之后。 时间值 是一个数字(秒)或数字后跟其中之一
字符 s (秒), m (分钟), h (小时),例如 20 m or 1h.
这个 icmp类型 是 firewalld 支持的 icmp 类型之一。 获取列表
支持的 icmp 类型: 防火墙-cmd --获取 icmp 类型
这个 - 暂停 选项不能与 - 永恒的 选项。
[- 永恒的[- 区=区] --删除 icmp 块=icmp类型
删除 ICMP 块 icmp类型 , 区. 如果区域被省略,默认区域将是
用过的。 可以多次指定此选项。
[- 永恒的[- 区=区] --查询 icmp 块=icmp类型
返回 ICMP 块是否用于 icmp类型 已添加 区. 如果省略区域,
将使用默认区域。 如果为真则返回 0,否则返回 1。
[- 永恒的[- 区=区] --列表转发端口
列表 IPv4 添加的转发端口 区 作为空格分隔的列表。 如果省略区域,
将使用默认区域。
对于 IPv6 转发端口,请使用丰富的语言。
[- 永恒的[- 区=区]
--添加转发端口=端口=端口号[-端口号]:原型=协议[:端口=端口号[-端口号]][:toaddr=地址[/面膜]]
[- 暂停=时间值]
添加 IPv4 转发端口 区. 如果省略 zone,则将使用默认 zone。
可以多次指定此选项。 如果提供超时,则规则将
在指定的时间内处于活动状态,并将自动删除
之后。 时间值 是一个数字(秒)或数字后跟其中之一
字符 s (秒), m (分钟), h (小时),例如 20 m or 1h.
端口可以是单个端口号 端口号 或端口范围 端口号-端口号。 该
协议可以是 TCP or UDP. 目标地址是一个简单的 IP 地址。
这个 - 暂停 选项不能与 - 永恒的 选项。
对于 IPv6 转发端口,请使用丰富的语言。
[- 永恒的[- 区=区]
--删除转发端口=端口=端口号[-端口号]:原型=协议[:端口=端口号[-端口号]][:toaddr=地址[/面膜]]
取出 IPv4 转发端口来自 区. 如果省略 zone,则将使用默认 zone。
可以多次指定此选项。
对于 IPv6 转发端口,请使用丰富的语言。
[- 永恒的[- 区=区]
--查询转发端口=端口=端口号[-端口号]:原型=协议[:端口=端口号[-端口号]][:toaddr=地址[/面膜]]
返回是否 IPv4 已添加转发端口 区. 如果省略区域,
将使用默认区域。 如果为真则返回 0,否则返回 1。
对于 IPv6 转发端口,请使用丰富的语言。
[- 永恒的[- 区=区] --添加伪装 [- 暂停=时间值]
启用 IPv4 伪装为 区. 如果省略 zone,则将使用默认 zone。 如果一个
提供超时,伪装将在指定的时间内处于活动状态。
时间值 是一个数字(秒)或数字后跟一个字符 s
(秒), m (分钟), h (小时),例如 20 m or 1h. 伪装是有用的,如果
机器是路由器,机器通过另一个区域的接口连接
应该可以使用第一个连接。
这个 - 暂停 选项不能与 - 永恒的 选项。
对于 IPv6 伪装,请用丰富的语言。
[- 永恒的[- 区=区] --去除伪装
关闭 IPv4 伪装为 区. 如果省略 zone,则将使用默认 zone。 如果
伪装已启用超时,它也将被禁用。
对于 IPv6 伪装,请用丰富的语言。
[- 永恒的[- 区=区] --查询伪装
返回是否 IPv4 已启用伪装 区. 如果省略区域,
将使用默认区域。 如果为真则返回 0,否则返回 1。
对于 IPv6 伪装,请用丰富的语言。
[- 永恒的[- 区=区] --list-rich-规则
列出添加的丰富的语言规则 区 作为换行符分隔的列表。 如果区域是
省略,将使用默认区域。
[- 永恒的[- 区=区] --添加丰富规则='排除' [- 暂停=时间值]
添加丰富的语言规则'排除' 为了 区. 可以多次指定此选项。
如果省略 zone,则将使用默认 zone。 如果提供超时,则 排除 将
在指定的时间内处于活动状态,并将自动删除
之后。 时间值 是一个数字(秒)或数字后跟其中之一
字符 s (秒), m (分钟), h (小时),例如 20 m or 1h.
丰富的语言规则语法请看 防火墙d.richlanguage(5)。
这个 - 暂停 选项不能与 - 永恒的 选项。
[- 永恒的[- 区=区] --删除丰富规则='排除'
删除丰富的语言规则'排除来自 区. 这个选项可以指定多个
次。 如果省略 zone,则将使用默认 zone。
丰富的语言规则语法请看 防火墙d.richlanguage(5)。
[- 永恒的[- 区=区] --查询丰富规则='排除'
返回是否有丰富的语言规则 '排除' 已添加为 区. 如果区域是
省略,将使用默认区域。 如果为真则返回 0,否则返回 1。
丰富的语言规则语法请看 防火墙d.richlanguage(5)。
可选项 至 手柄 绑定 of 接口
将接口绑定到区域意味着此区域设置用于限制流量
通过接口。
本节中的选项仅影响一个特定区域。 如果与 - 区=区 选项,
他们影响区域 区. 如果省略该选项,它们会影响默认区域(请参阅
--获取默认区域).
有关预定义区域的列表,请使用 防火墙-cmd --获取区域.
接口名称是最多 16 个字符的字符串,其中可能不包含 ' ', '/', '!
和 '*'.
[- 永恒的[- 区=区] --列表接口
列出绑定到区域的接口 区 作为空格分隔的列表。 如果区域是
省略,将使用默认区域。
[- 永恒的[- 区=区] --添加接口=接口
绑定接口 接口 到区 区. 如果省略 zone,则将使用默认 zone。
作为最终用户,在大多数情况下您不需要它,因为 NetworkManager(或遗留
网络服务)自动将接口添加到区域中(根据 区域= 选项
来自 ifcfg-接口 文件)如果 NM_CONTROLLED=否 未设置。 只有在以下情况下你才应该这样做
没有 /etc/sysconfig/network-scripts/ifcfg-接口 文件。 如果有这样的文件
并使用此向区域添加接口 --添加接口 选项,确保该区域是
在这两种情况下都相同,否则行为将是未定义的。 也请有
看着那(这 firewalld(1) 手册页中的 概念 部分。 对于永久协会
与区域的接口,另请参阅“如何设置或更改连接的区域?” 在
防火墙区(5)。
[- 区=区] --更改界面=接口
更改区域界面 接口 绑定到区域 区. 基本上是
--删除接口 其次是 --添加接口. 如果接口尚未绑定
一个区域之前,它的行为就像 --添加接口. 如果区域被省略,默认区域将
使用。
[- 永恒的[- 区=区] --查询接口=接口
查询是否有接口 接口 绑定到区域 区. 如果为真,则返回 0,1
除此以外。
[- 永恒的] --删除接口=接口
解除接口绑定 接口 来自它之前添加到的区域。
可选项 至 手柄 绑定 of 来源
将源绑定到区域意味着此区域设置将用于限制流量
从这个来源。
源地址或地址范围是 IP 地址或网络 IP 地址,带有
IPv4 或 IPv6 的掩码或 MAC 地址(无掩码)。 对于 IPv4,掩码可以是网络掩码
或普通数字。 对于 IPv6,掩码是一个普通数字。 主机名的使用不是
支持的。
本节中的选项仅影响一个特定区域。 如果与 - 区=区 选项,
他们影响区域 区. 如果省略该选项,它们会影响默认区域(请参阅
--获取默认区域).
有关预定义区域的列表,请使用 防火墙-cmd [ - 永恒的] --获取区域.
[- 永恒的[- 区=区] --列表来源
列出绑定到区域的源 区 作为空格分隔的列表。 如果区域是
省略,将使用默认区域。
[- 永恒的[- 区=区] --添加源=资源[/面膜]
绑定源 资源[/面膜] 到区域 区. 如果省略 zone,则将使用默认 zone。
[- 区=区] --更改源=资源[/面膜]
更改区域源 资源[/面膜] 绑定到区域 区. 基本上是
--删除源 其次是 --添加源. 如果源尚未绑定到区域
之前,它的行为就像 --添加源. 如果省略 zone,则将使用默认 zone。
[- 永恒的[- 区=区] --查询源=资源[/面膜]
查询是否来源 资源[/面膜] 绑定到区域 区. 如果为真,则返回 0,1
除此以外。
[- 永恒的] --删除源=资源[/面膜]
去除源绑定 资源[/面膜] 来自它之前添加到的区域。
IP集 可选项
- 永恒的 --新的ipset=IP集 - 类型=IP集 类型 [- 选项=IP集 选项[=折扣值]]
添加一个新的永久 ipset,并指定类型和可选选项。
- 永恒的 --删除 ipset=IP集
删除现有的永久 ipset。
[- 永恒的] --信息-ipset=IP集
打印有关 ipset 的信息 IP集. 输出格式为:
IP集
类型: 类型
opţiuni: 选项 1[=值 1] ..
条目: entry1 ..
[- 永恒的] --获取 ipsets
将预定义的 ipsets 打印为空格分隔的列表。
[- 永恒的] --ipset=IP集 --添加条目=条目
向 ipset 添加一个新条目。
[- 永恒的] --ipset=IP集 --删除条目=条目
从 ipset 中删除一个条目。
[- 永恒的] --ipset=IP集 --查询入口=条目
返回条目是否已添加到 ipset。 如果为真则返回 0,否则返回 1。
[- 永恒的] --ipset=IP集 --获取条目
列出 ipset 的所有条目。
服务 可选项
本节中的选项仅影响一项特定服务。
[- 永恒的] --信息服务=服务
打印有关服务的信息 服务. 输出格式为:
服务
端口: 端口1 ..
协议: 协议1 ..
模块: module1 ..
目的地: ipv1:address1 ..
以下选项仅在永久配置中可用。
- 永恒的 --新服务=服务
添加新的永久服务。
- 永恒的 --删除服务=服务
删除现有的永久服务。
- 永恒的 - 服务=服务 --添加端口=端口号[-端口号]/协议
为永久服务添加一个新端口。
- 永恒的 - 服务=服务 --删除端口=端口号[-端口号]/协议
从永久服务中删除端口。
- 永恒的 - 服务=服务 --查询端口=端口号[-端口号]/协议
返回端口是否已添加到永久服务中。
- 永恒的 - 服务=服务 --获取端口
列出添加到永久服务的端口。
- 永恒的 - 服务=服务 --添加协议=协议
向永久服务添加新协议。
- 永恒的 - 服务=服务 --删除协议=协议
从永久服务中删除协议。
- 永恒的 - 服务=服务 --查询协议=协议
返回协议是否已添加到永久服务中。
- 永恒的 - 服务=服务 --get-协议
列出添加到永久服务的协议。
- 永恒的 - 服务=服务 --添加模块=模块
向永久服务添加新模块。
- 永恒的 - 服务=服务 --删除模块=模块
从永久服务中删除模块。
- 永恒的 - 服务=服务 --查询模块=模块
返回模块是否已添加到永久服务中。
- 永恒的 - 服务=服务 --get-模块
列出添加到永久服务的模块。
- 永恒的 - 服务=服务 --添加目的地=IPV:地址[/面膜]
在永久服务中将ipv的目的地设置为address[/mask]。
- 永恒的 - 服务=服务 --删除目的地=IPV
从永久服务中删除 ipv 的目的地。
- 永恒的 - 服务=服务 --查询目的地=IPV:地址[/面膜]
返回目标ipv到地址[/mask]是否已在永久
服务。
- 永恒的 - 服务=服务 --获取目的地
列出添加到永久服务的目的地。
网络 通过积极争取让商标与其相匹配的域名优先注册来维护 留言 协议 (ICMP) 类型 可选项
本节中的选项仅影响一种特定的 icmptype。
[- 永恒的] --info-icmptype=icmp类型
打印有关 icmptype 的信息 icmp类型. 输出格式为:
icmp类型
目的地: ipv1 ..
以下选项仅在永久配置中可用。
- 永恒的 --新的icmp类型=icmp类型
添加新的永久 icmptype。
- 永恒的 --删除 icmp 类型=icmp类型
删除现有的永久 icmptype。
- 永恒的 --icmp类型=icmp类型 --添加目的地=IPV
在永久 icmptype 中为 ipv 启用目的地。 ipv 是其中之一 ipv4 or ipv6.
- 永恒的 --icmp类型=icmp类型 --删除目的地=IPV
在永久 icmptype 中禁用 ipv 的目的地。 ipv 是其中之一 ipv4 or ipv6.
- 永恒的 --icmp类型=icmp类型 --查询目的地=IPV
返回是否在永久 icmptype 中启用了 ipv 的目的地。 ipv 是其中之一
ipv4 or ipv6.
- 永恒的 --icmp类型=icmp类型 --获取目的地
列出永久 icmptype 中的目的地。
直接 可选项
直接选项可以更直接地访问防火墙。 这些选项需要用户
了解基本的 iptables 概念,即 表 (过滤器/损坏/自然/...), 链
(输入/输出/前进/...), 命令 (-A/-D/-I/...), 参数 (-p/-s/-d/-j/...) 和
目标 (接受/放弃/拒绝/...)。
直接选项仅在无法用于时才作为最后的手段使用
例子 --添加服务=服务 or --添加丰富规则='排除'.
每个选项的第一个参数必须是 ipv4 or ipv6 or eb。 同 ipv4 这将是为了
IPv4(iptables的(8)),与 ipv6 对于 IPv6 (ip6表(8)) 和 eb 用于以太网桥
(表(8))。
[- 永恒的] - 直接的 --get-all-链
将所有链添加到所有表中。 此选项仅涉及先前添加的链
- - 直接的 --添加链.
[- 永恒的] - 直接的 --get链 { ipv4 | ipv6 | eb } 表
获取所有链添加到表 表 作为空格分隔的列表。 该选项涉及
仅先前添加的链 - 直接的 --添加链.
[- 永恒的] - 直接的 --添加链 { ipv4 | ipv6 | eb } 表 链
添加带有名称的新链 链 上桌 表. 确保没有其他链
这个名字已经。
例如,已经存在与直接选项一起使用的基本链 输入直接
链(见 iptables-保存 | grep的 直接 所有这些的输出)。 这些链条是
跳入区域链之前,即放入的每个规则 输入直接 会
在区域规则之前检查。
[- 永恒的] - 直接的 --删除链 { ipv4 | ipv6 | eb } 表 链
删除带有名称的链 链 从表 表. 仅先前添加的链
- 直接的 --添加链 可以通过这种方式删除。
[- 永恒的] - 直接的 --查询链 { ipv4 | ipv6 | eb } 表 链
返回是否带有名称的链 链 存在于表中 表. 如果为真,则返回 0,1
除此以外。 此选项仅涉及先前添加的链 - 直接的
--添加链.
[- 永恒的] - 直接的 --get-all-规则
获取添加到所有表中所有链的所有规则作为换行符分隔的列表
优先权和论据。 此选项仅涉及先前添加的规则 - 直接的
--添加规则.
[- 永恒的] - 直接的 --get-规则 { ipv4 | ipv6 | eb } 表 链
获取所有规则添加到链 链 在表中 表 作为换行符分隔的列表
优先权和论据。 此选项仅涉及先前添加的规则 - 直接的
--添加规则.
[- 永恒的] - 直接的 --添加规则 { ipv4 | ipv6 | eb } 表 链 优先 ARGS
添加带有参数的规则 ARGS 连锁 链 在表中 表 有优先权
优先.
这个 优先 用于排序规则。 优先级 0 表示在链顶部添加规则,
具有更高优先级的规则将进一步向下添加。 规则相同
优先级在同一级别,这些规则的顺序不固定,可能会
改变。 如果您想确保将在另一个规则之后添加规则,请使用
第一个优先级低,后面的优先级高。
[- 永恒的] - 直接的 --删除规则 { ipv4 | ipv6 | eb } 表 链 优先 ARGS
删除规则 优先 和论点 ARGS 从链 链 在表中 表.
仅以前添加的规则 - 直接的 --添加规则 可以通过这种方式删除。
[- 永恒的] - 直接的 --删除规则 { ipv4 | ipv6 | eb } 表 链
删除链中具有名称的所有规则 链 存在于表中 表. 这个选项
仅涉及先前添加的规则 - 直接的 --添加规则 在这个链条中。
[- 永恒的] - 直接的 --查询规则 { ipv4 | ipv6 | eb } 表 链 优先 ARGS
返回规则是否与 优先 和论点 ARGS 存在于链中 链 in
表 表. 如果为真则返回 0,否则返回 1。 此选项仅涉及规则
之前添加了 - 直接的 --添加规则.
- 直接的 --直通 { ipv4 | ipv6 | eb } ARGS
将命令传递到防火墙。 ARGS 可以全部 iptables的, ip6表 和
表 命令行参数。 该命令未被跟踪,这意味着firewalld
稍后无法提供有关此命令的信息,也无法提供
未追踪的通路。
[- 永恒的] - 直接的 --获取所有passthroughs
以换行符分隔的 ipv 值和参数列表的形式获取所有直通规则。
[- 永恒的] - 直接的 --get-直通 { ipv4 | ipv6 | eb }
获取 ipv 值的所有直通规则作为换行符分隔的列表
优先权和论据。
[- 永恒的] - 直接的 --添加直通 { ipv4 | ipv6 | eb } ARGS
添加带有参数的直通规则 ARGS 对于 ipv 值。
[- 永恒的] - 直接的 --删除直通 { ipv4 | ipv6 | eb } ARGS
删除带有参数的直通规则 ARGS 对于 ipv 值。
[- 永恒的] - 直接的 --查询直通 { ipv4 | ipv6 | eb } ARGS
返回是否带有参数的直通规则 ARGS 为 ipv 值而存在。
如果为真则返回 0,否则返回 1。
锁定 可选项
本地应用程序或服务能够更改防火墙配置,如果它们是
以 root 身份运行(例如:libvirt)或使用 PolicyKit 进行身份验证。 有了这个功能
管理员可以锁定防火墙配置,以便只有应用程序处于锁定状态
白名单能够请求防火墙更改。
锁定访问检查限制了正在更改防火墙规则的 D-Bus 方法。 询问,
list 和 get 方法不受限制。
锁定功能是用户和应用程序策略的一个非常简单的版本
firewalld 并默认关闭。
--锁定
启用锁定。 小心 - 如果 firewall-cmd 不在锁定白名单上
启用锁定您将无法使用 firewall-cmd 再次禁用它,您会
需要编辑firewalld.conf。
这是一个运行时和永久性更改。
--锁定关闭
禁用锁定。
这是一个运行时和永久性更改。
--查询锁定
查询是否启用锁定。 如果启用锁定,则返回 0,否则返回 1。
锁定 订阅 可选项
锁定白名单可以包含 命令, 上下文, 用户 和 用户 IDS.
如果白名单上的命令条目以星号“*”结尾,则所有命令行
以命令开头将匹配。 如果 '*' 不存在绝对命令
包含参数必须匹配。
用户 root 和其他用户的命令并不总是相同的。 示例:作为根
/bin/防火墙-cmd 作为普通用户使用 /usr/bin/防火墙命令 在 Fedora 上使用。
上下文是正在运行的应用程序或服务的安全 (SELinux) 上下文。 要得到
正在运行的应用程序使用的上下文 ps -e - 语境.
警告: 如果上下文不受限制,那么这将打开超过
所需的应用程序。
锁定白名单条目按以下顺序检查:
1. 上下文
2. 的uid
3. 用户
4. 命令
[- 永恒的] --list-lockdown-白名单命令
列出白名单上的所有命令行。
[- 永恒的] --add-lockdown-whitelist-命令=命令
添加 命令 到白名单。
[- 永恒的] --删除锁定白名单命令=命令
取出 命令 从白名单。
[- 永恒的] --查询锁定白名单命令=命令
查询是否 命令 在白名单上。 如果为真则返回 0,否则返回 1。
[- 永恒的] --list-lockdown-白名单-上下文
列出白名单上的所有上下文。
[- 永恒的] --add-lockdown-whitelist-context=上下文
添加上下文 上下文 到白名单。
[- 永恒的] --删除锁定白名单上下文=上下文
取出 上下文 从白名单。
[- 永恒的] --查询锁定白名单上下文=上下文
查询是否 上下文 在白名单上。 如果为真则返回 0,否则返回 1。
[- 永恒的] --list-lockdown-whitelist-uids
列出白名单上的所有用户 ID。
[- 永恒的] --add-lockdown-whitelist-uid=的uid
添加用户标识 的uid 到白名单。
[- 永恒的] --删除-锁定-白名单-uid=的uid
删除用户标识 的uid 从白名单。
[- 永恒的] --query-lockdown-whitelist-uid=的uid
查询是否有用户id 的uid 在白名单上。 如果为真则返回 0,否则返回 1。
[- 永恒的] --list-lockdown-白名单-用户
列出白名单上的所有用户名。
[- 永恒的] --add-lockdown-白名单-用户=用户
添加用户名 用户 到白名单。
[- 永恒的] --删除-锁定-白名单-用户=用户
删除用户名 用户 从白名单。
[- 永恒的] --query-lockdown-白名单-用户=用户
查询是否为用户名 用户 在白名单上。 如果为真则返回 0,否则返回 1。
恐慌 可选项
--恐慌
启用恐慌模式。 所有传入和传出的数据包都被丢弃,活动连接
会过期。 仅当您的网络出现严重问题时才启用此功能
环境。 例如,如果机器被黑客入侵。
这是仅运行时的更改。
--惊慌失措
禁用恐慌模式。 禁用恐慌模式后建立的连接可能会工作
再次,如果恐慌模式启用了很短的时间。
这是仅运行时的更改。
--查询恐慌
如果启用紧急模式,则返回 0,否则返回 1。
示例
有关更多示例,请参见 http://fedoraproject.org/wiki/FirewallD
例如: 1
在默认区域启用 http 服务。 这只是运行时更改,即有效直到
重新启动。
防火墙-cmd --add-service=http
例如: 2
在默认区域中立即永久启用端口 443/tcp。 做出改变
立即生效以及重启后我们需要两个命令。 第一个命令使
运行时配置的更改,即使其立即生效,直到重新启动。
第二个命令在永久配置中进行更改,即使其生效
重启后。
防火墙-cmd --add-port=443/tcp
防火墙cmd-永久--add-port = 443 / tcp
退出 编码
成功时返回 0。 失败时,输出为红色,退出代码为 2
如果命令行选项使用错误或在其他情况下出现以下错误代码之一
情况:
┌──────────────────────┬──────┐
│串 │ 代码 │
├──────────────────────┼──────┤
│已启用 │ 11 │
├──────────────────────┼──────┤
│未启用 │ 12 │
├──────────────────────┼──────┤
│命令失败 │ 13 │
├──────────────────────┼──────┤
│NO_IPV6_NAT │ 14 │
├──────────────────────┼──────┤
│PANIC_MODE │15 │
├──────────────────────┼──────┤
│ZONE_ALREADY_SET │ 16 │
├──────────────────────┼──────┤
│未知接口 │ 17 │
├──────────────────────┼──────┤
│区域冲突 │ 18 │
├──────────────────────┼──────┤
│内置链 │ 19 │
├──────────────────────┼──────┤
│EBTABLES_NO_REJECT │ 20 │
├──────────────────────┼──────┤
│NOT_OVERLOADABLE │ 21 │
├──────────────────────┼──────┤
│NO_DEFAULTS │22 │
├──────────────────────┼──────┤
│BUILTIN_ZONE │ 23 │
├──────────────────────┼──────┤
│内置服务 │ 24 │
├──────────────────────┼──────┤
│BUILTIN_ICMPTYPE │ 25 │
├──────────────────────┼──────┤
│名称_冲突 │ 26 │
├──────────────────────┼──────┤
│名称_不匹配 │ 27 │
├──────────────────────┼──────┤
│解析错误 │ 28 │
├──────────────────────┼──────┤
│ACCESS_DENIED │29 │
├──────────────────────┼──────┤
│未知来源 │ 30 │
├──────────────────────┼──────┤
│RT_TO_PERM_FAILED │ 31 │
├──────────────────────┼──────┤
│IPSET_WITH_TIMEOUT │ 32 │
├──────────────────────┼──────┤
│BUILTIN_IPSET │ 33 │
├──────────────────────┼──────┤
│已经设置好 │ 34 │
├──────────────────────┼──────┤
│无效操作 │ 100 │
├──────────────────────┼──────┤
│INVALID_SERVICE │101 │
├──────────────────────┼──────┤
│INVALID_PORT │102 │
├──────────────────────┼──────┤
│INVALID_PROTOCOL │103 │
├──────────────────────┼──────┤
│INVALID_INTERFACE │104 │
├──────────────────────┼──────┤
│INVALID_ADDR │105 │
├──────────────────────┼──────┤
│INVALID_FORWARD │106 │
├──────────────────────┼──────┤
│INVALID_ICMPTYPE │107 │
├──────────────────────┼──────┤
│INVALID_TABLE │108 │
├──────────────────────┼──────┤
│无效_链 │ 109 │
├──────────────────────┼──────┤
│INVALID_TARGET │110 │
├──────────────────────┼──────┤
│INVALID_IPV │111 │
├──────────────────────┼──────┤
│INVALID_ZONE │112 │
├──────────────────────┼──────┤
│INVALID_PROPERTY │113 │
├──────────────────────┼──────┤
│INVALID_VALUE │114 │
├──────────────────────┼──────┤
│INVALID_OBJECT │115 │
├──────────────────────┼──────┤
│INVALID_NAME │116 │
├──────────────────────┼──────┤
│INVALID_FILENAME │117 │
├──────────────────────┼──────┤
│INVALID_DIRECTORY │118 │
├──────────────────────┼──────┤
│INVALID_TYPE │119 │
├──────────────────────┼──────┤
│INVALID_SETTING │120 │
├──────────────────────┼──────┤
│INVALID_DESTINATION │121 │
├──────────────────────┼──────┤
│INVALID_RULE │122 │
├──────────────────────┼──────┤
│INVALID_LIMIT │123 │
├──────────────────────┼──────┤
│INVALID_FAMILY │124 │
├──────────────────────┼──────┤
│INVALID_LOG_LEVEL │125 │
├──────────────────────┼──────┤
│INVALID_AUDIT_TYPE │126 │
├──────────────────────┼──────┤
│INVALID_MARK │127 │
├──────────────────────┼──────┤
│INVALID_CONTEXT │128 │
├──────────────────────┼──────┤
│INVALID_COMMAND │129 │
├──────────────────────┼──────┤
│无效用户 │ 130 │
├──────────────────────┼──────┤
│INVALID_UID │131 │
├──────────────────────┼──────┤
│INVALID_MODULE │132 │
├──────────────────────┼──────┤
│INVALID_PASSTHROUGH │133 │
├──────────────────────┼──────┤
│无效_MAC │ 134 │
├──────────────────────┼──────┤
│INVALID_IPSET │135 │
├──────────────────────┼──────┤
│INVALID_ENTRY │136 │
├──────────────────────┼──────┤
│INVALID_OPTION │137 │
├──────────────────────┼──────┤
│MISSING_TABLE │200 │
├──────────────────────┼──────┤
│MISSING_CHAIN │201 │
├──────────────────────┼──────┤
│MISSING_PORT │202 │
├──────────────────────┼──────┤
│MISSING_PROTOCOL │203 │
├──────────────────────┼──────┤
│MISSING_ADDR │204 │
├──────────────────────┼──────┤
│MISSING_NAME │205 │
├──────────────────────┼──────┤
│MISSING_SETTING │206 │
├──────────────────────┼──────┤
│MISSING_FAMILY │207 │
├──────────────────────┼──────┤
│NOT_RUNNING │252 │
├──────────────────────┼──────┤
│未授权 │ 253 │
├──────────────────────┼──────┤
│UNKNOWN_ERROR │254 │
└──────────────────────┴──────┘
使用 onworks.net 服务在线使用 firewall-cmd
