Questo è il comando firewall-cmd che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
firewall-cmd - client da riga di comando firewalld
SINOSSI
firewall-cmd [OPZIONI...]
DESCRIZIONE
firewall-cmd è il client della riga di comando del demone firewalld. Fornisce l'interfaccia per
gestire il runtime e la configurazione permanente.
La configurazione runtime in firewalld è separata dalla configurazione permanente. Questo
significa che le cose possono essere modificate nel runtime o nella configurazione permanente.
VERSIONI
Sono supportate le seguenti opzioni:
Generale Opzioni
-h, --Aiuto
Stampa un breve testo di aiuto ed esce.
-V, --versione
Stampa la stringa della versione di firewalld. Questa opzione non è cumulabile con altre
opzioni.
-q, --silenzioso
Non stampare messaggi di stato.
Stato dell'ordine Opzioni
--stato
Controlla se il demone firewalld è attivo (cioè in esecuzione). Restituisce un codice di uscita 0 se
è attivo, NON CORRENDO in caso contrario (vedi la sezione denominata “CODICI DI USCITA”). Questo sarà
stampa anche lo stato su STDOUT.
--ricaricare
Ricarica le regole del firewall e conserva le informazioni sullo stato. L'attuale configurazione permanente sarà
diventa una nuova configurazione di runtime, ovvero tutte le modifiche di runtime apportate solo fino al ricaricamento sono
perso con ricarica se non sono stati anche in configurazione permanente.
--completa-ricarica
Ricarica completamente il firewall, anche i moduli del kernel di netfilter. Questo sarà molto probabilmente
terminare le connessioni attive, perché le informazioni sullo stato vengono perse. Questa opzione dovrebbe
essere utilizzato solo in caso di gravi problemi del firewall. Ad esempio se ci sono stati
problemi di informazione che non è possibile stabilire una connessione con il firewall corretto
regole.
--runtime-permanente
Salva la configurazione di runtime attiva e sovrascrivi la configurazione permanente con essa. Il
il modo in cui dovrebbe funzionare è che quando si configura firewalld si apportano modifiche al runtime
solo e una volta che sei soddisfatto della configurazione e hai testato che funziona nel modo giusto
vuoi, salva la configurazione su disco.
--get-log-negato
Stampa l'impostazione del registro negato.
--set-log-negato=APPREZZIAMO
Aggiungi regole di registrazione subito prima di rifiutare e rilasciare regole in INPUT, FORWARD e OUTPUT
catene per le regole predefinite e anche regole di rifiuto e rilascio finali nelle zone per il
tipo di pacchetto a livello di collegamento configurato. I valori possibili sono: contro tutti i, unicast, BROADCAST,
Multicast e a MENO. L'impostazione predefinita è MENO, che disabilita la registrazione.
Questa è una modifica permanente e di runtime e ricaricherà anche il firewall per poterlo fare
aggiungere le regole di registrazione.
Permanente Opzioni
--permanente
L'opzione permanente --permanente può essere utilizzato per impostare le opzioni in modo permanente. Questi cambiamenti
non hanno effetto immediato, solo dopo il riavvio/ricaricamento del servizio o il riavvio del sistema.
Senza il --permanente opzione, una modifica sarà solo una parte del runtime
configurazione.
Se vuoi apportare una modifica al runtime e alla configurazione permanente, usa la stessa chiamata
con e senza --permanente opzione.
Le --permanente l'opzione può essere facoltativamente aggiunta a tutte le opzioni più in basso dove si trova
supportato.
Zona Opzioni
--get-default-zona
Stampa la zona predefinita per connessioni e interfacce.
--set-zona-predefinita=zona
Imposta la zona predefinita per le connessioni e le interfacce in cui non è stata selezionata alcuna zona.
L'impostazione della zona predefinita cambia la zona per le connessioni o le interfacce, che sono
utilizzando la zona predefinita.
Si tratta di un runtime e di una modifica permanente.
--get-active-zone
Stampa tutte le zone attualmente attive con le interfacce e le fonti utilizzate in queste
zone. Le zone attive sono zone che hanno un'associazione a un'interfaccia o un'origine. Il
il formato di output è:
zone1
interfacce: interfaccia1 interfaccia2 ..
fonti: source1 ..
zone2
interfacce: interfaccia3 ..
zone3
fonti: source2 ..
Se non ci sono interfacce o sorgenti legate alla zona, la linea corrispondente sarà
essere omesso.
[--permanente] --get-zone
Stampa le zone predefinite come un elenco separato da spazi.
[--permanente] --ottieni-servizi
Stampa i servizi predefiniti come un elenco separato da spazi.
[--permanente] --get-icmptypes
Stampa icmptypes predefiniti come un elenco separato da spazi.
[--permanente] --get-zona-di-interfaccia=interfaccia
Stampa il nome della zona il interfaccia è legato a o no zona.
[--permanente] --get-zona-di-sorgente=source[/mask]
Stampa il nome della zona il source[/mask] è legato a o no zona.
[--permanente] --info-zona=zona
Stampa le informazioni sulla zona zona. Il formato di output è:
zona
interfacce: interfaccia1 ..
fonti: source1 ..
servizi: service1 ..
porti: port1 ..
protocolli: protocollo1 ..
forward-ports:
avanti-porta1
..
ICMP-blocchi: tipo-icmp1 ..
regole ricche:
ricco-regola1
..
[--permanente] --list-all-zone
Elenca tutto ciò che è stato aggiunto o abilitato in tutte le zone. Il formato di output è:
zone1
interfacce: interfaccia1 ..
fonti: source1 ..
servizi: service1 ..
porti: port1 ..
protocolli: protocollo1 ..
forward-ports:
avanti-porta1
..
ICMP-blocchi: tipo-icmp1 ..
regole ricche:
ricco-regola1
..
..
--permanente --nuova-zona=zona
Aggiungi una nuova zona permanente.
--permanente --delete-zona=zona
Elimina una zona permanente esistente.
--permanente [--zona=zona] --get-bersaglio
Ottieni l'obiettivo di una zona permanente.
--permanente [--zona=zona] --imposta-obiettivo=bersaglio
Imposta l'obiettivo di una zona permanente. bersaglio è uno di: difetto, ACCETTO, GOCCIA, RIFIUTARE
Opzioni a Adattare e a domanda Zone
Le opzioni in questa sezione interessano solo una zona particolare. Se usato con --zona=zona opzione,
interessano la zona zona. Se l'opzione viene omessa, influiscono sulla zona predefinita (vedi
--get-default-zona).
[--permanente] [--zona=zona] --list-all
Elenca tutto ciò che è stato aggiunto o abilitato in zona. Se la zona viene omessa, la zona predefinita sarà
Usato.
[--permanente] [--zona=zona] --list-servizi
Elenco servizi aggiunti per zona come elenco separato da spazi. Se la zona viene omessa, l'impostazione predefinita
verrà utilizzata la zona.
[--permanente] [--zona=zona] --aggiungi-servizio=INSTALLAZIONE [--tempo scaduto=valore temporale]
Aggiungi un servizio per zona. Se la zona viene omessa, verrà utilizzata la zona predefinita. Questa opzione può
essere specificato più volte. Se viene fornito un timeout, la regola sarà attiva per il
periodo di tempo specificato e verrà rimosso automaticamente in seguito. valore temporale is
un numero (di secondi) o un numero seguito da uno di caratteri s (secondi), m
(minuti), h (ore), per esempio 20m or 1h.
Il servizio è uno dei servizi forniti da firewalld. Per ottenere un elenco dei supportati
servizi, uso firewall-cmd --ottieni-servizi.
Le --tempo scaduto l'opzione non è cumulabile con --permanente opzione.
[--permanente] [--zona=zona] --rimuovi-servizio=INSTALLAZIONE
Rimuovere un servizio da zona. Questa opzione può essere specificata più volte. Se la zona è
omesso, verrà utilizzata la zona predefinita.
[--permanente] [--zona=zona] --servizio-query=INSTALLAZIONE
Restituisci se INSTALLAZIONE è stato aggiunto per zona. Se la zona viene omessa, la zona predefinita lo farà
essere usato. Restituisce 0 se vero, 1 altrimenti.
[--permanente] [--zona=zona] --list-porte
Elenco porte aggiunte per zona come elenco separato da spazi. Una porta è della forma
porto[-porto]/protocollo, può essere una coppia di porte e protocolli o un intervallo di porte
con un protocollo Se la zona viene omessa, verrà utilizzata la zona predefinita.
[--permanente] [--zona=zona] --aggiungi-porta=porto[-porto]/protocollo [--tempo scaduto=valore temporale]
Aggiungi la porta per zona. Se la zona viene omessa, verrà utilizzata la zona predefinita. Questa opzione può
essere specificato più volte. Se viene fornito un timeout, la regola sarà attiva per il
periodo di tempo specificato e verrà rimosso automaticamente in seguito. valore temporale is
un numero (di secondi) o un numero seguito da uno di caratteri s (secondi), m
(minuti), h (ore), per esempio 20m or 1h.
La porta può essere un singolo numero di porta o un intervallo di porte porto-porto.
il protocollo può essere tcp or udp.
Le --tempo scaduto l'opzione non è cumulabile con --permanente opzione.
[--permanente] [--zona=zona] --rimuovi-porta=porto[-porto]/protocollo
Rimuovere la porta da zona. Se la zona viene omessa, verrà utilizzata la zona predefinita. Questa opzione
può essere specificato più volte.
[--permanente] [--zona=zona] --porta-query=porto[-porto]/protocollo
Restituisci se la porta è stata aggiunta per zona. Se la zona viene omessa, la zona predefinita lo farà
essere usato. Restituisce 0 se vero, 1 altrimenti.
[--permanente] [--zona=zona] --list-protocolli
Elenco protocolli aggiunti per zona come elenco separato da spazi. Se la zona viene omessa, l'impostazione predefinita
verrà utilizzata la zona.
[--permanente] [--zona=zona] --add-protocollo=protocollo [--tempo scaduto=valore temporale]
Aggiungi il protocollo per zona. Se la zona viene omessa, verrà utilizzata la zona predefinita. Questa opzione
può essere specificato più volte. Se viene fornito un timeout, la regola sarà attiva per
il periodo di tempo specificato e verrà rimosso automaticamente in seguito. valore temporale is
un numero (di secondi) o un numero seguito da uno di caratteri s (secondi), m
(minuti), h (ore), per esempio 20m or 1h.
Il protocollo può essere qualsiasi protocollo supportato dal sistema. Si prega di dare un'occhiata a
/ etc / protocols per i protocolli supportati.
Le --tempo scaduto l'opzione non è cumulabile con --permanente opzione.
[--permanente] [--zona=zona] --remove-protocollo=protocollo
Rimuovere il protocollo da zona. Se la zona viene omessa, verrà utilizzata la zona predefinita. Questo
l'opzione può essere specificata più volte.
[--permanente] [--zona=zona] --protocollo-query=protocollo
Restituire se il protocollo è stato aggiunto per zona. Se la zona viene omessa, zona predefinita
sarà usato. Restituisce 0 se vero, 1 altrimenti.
[--permanente] [--zona=zona] --list-icmp-blocchi
Elenca i blocchi di tipo ICMP (Internet Control Message Protocol) aggiunti per zona come uno spazio
elenco separato. Se la zona viene omessa, verrà utilizzata la zona predefinita.
[--permanente] [--zona=zona] --add-icmp-blocco=tipo icmp [--tempo scaduto=valore temporale]
Aggiungi un blocco ICMP per tipo icmp per zona. Se la zona viene omessa, la zona predefinita sarà
Usato. Questa opzione può essere specificata più volte. Se viene fornito un timeout, la regola
sarà attivo per il periodo di tempo specificato e verrà rimosso automaticamente
successivamente. valore temporale è un numero (di secondi) o un numero seguito da uno di
caratteri s (secondi), m (minuti), h (ore), per esempio 20m or 1h.
Le tipo icmp è quello dei tipi icmp supportati da firewalld. Per ottenere un elenco di
tipi di icmp supportati: firewall-cmd --get-icmptypes
Le --tempo scaduto l'opzione non è cumulabile con --permanente opzione.
[--permanente] [--zona=zona] --remove-icmp-blocco=tipo icmp
Rimuovere il blocco ICMP per tipo icmp da zona. Se la zona viene omessa, la zona predefinita sarà
Usato. Questa opzione può essere specificata più volte.
[--permanente] [--zona=zona] --query-icmp-blocco=tipo icmp
Restituisce se un blocco ICMP per tipo icmp è stato aggiunto per zona. Se la zona è omessa,
verrà utilizzata la zona predefinita. Restituisce 0 se vero, 1 altrimenti.
[--permanente] [--zona=zona] --list-forward-port
Lista IPv4 porte forward aggiunte per zona come elenco separato da spazi. Se la zona è omessa,
verrà utilizzata la zona predefinita.
Per IPv6 porte di inoltro, utilizzare il linguaggio avanzato.
[--permanente] [--zona=zona]
--aggiungi-forward-porta=porto=porto[-porto]:proto=protocollo[:porta=porto[-porto]][:toaddr=indirizzo[/mask]]
[--tempo scaduto=valore temporale]
Aggiungere il IPv4 porta in avanti per zona. Se la zona viene omessa, verrà utilizzata la zona predefinita.
Questa opzione può essere specificata più volte. Se viene fornito un timeout, la regola sarà
essere attivo per il periodo di tempo specificato e verrà rimosso automaticamente
successivamente. valore temporale è un numero (di secondi) o un numero seguito da uno di
caratteri s (secondi), m (minuti), h (ore), per esempio 20m or 1h.
La porta può essere un singolo numero di porta porto o un intervallo di porte porto-porto.
il protocollo può essere tcp or udp. L'indirizzo di destinazione è un semplice indirizzo IP.
Le --tempo scaduto l'opzione non è cumulabile con --permanente opzione.
Per IPv6 porte di inoltro, utilizzare il linguaggio avanzato.
[--permanente] [--zona=zona]
--rimuovi-forward-port=porto=porto[-porto]:proto=protocollo[:porta=porto[-porto]][:toaddr=indirizzo[/mask]]
Rimuovi il IPv4 porta in avanti da zona. Se la zona viene omessa, verrà utilizzata la zona predefinita.
Questa opzione può essere specificata più volte.
Per IPv6 porte di inoltro, utilizzare il linguaggio avanzato.
[--permanente] [--zona=zona]
--query-forward-porta=porto=porto[-porto]:proto=protocollo[:porta=porto[-porto]][:toaddr=indirizzo[/mask]]
Ritorna se il IPv4 la porta forward è stata aggiunta per zona. Se la zona è omessa,
verrà utilizzata la zona predefinita. Restituisce 0 se vero, 1 altrimenti.
Per IPv6 porte di inoltro, utilizzare il linguaggio avanzato.
[--permanente] [--zona=zona] --add-mascherata [--tempo scaduto=valore temporale]
permettere IPv4 mascherata per zona. Se la zona viene omessa, verrà utilizzata la zona predefinita. Se un
timeout viene fornito, il mascheramento sarà attivo per il periodo di tempo specificato.
valore temporale è un numero (di secondi) o un numero seguito da uno dei caratteri s
(secondi), m (minuti), h (ore), per esempio 20m or 1h. Il mascheramento è utile se
la macchina è un router e le macchine sono collegate tramite un'interfaccia in un'altra zona
dovrebbe essere in grado di utilizzare la prima connessione.
Le --tempo scaduto l'opzione non è cumulabile con --permanente opzione.
Per IPv6 mascheramento, per favore usa il linguaggio ricco.
[--permanente] [--zona=zona] --rimuovi-mascheramento
Disabilita IPv4 mascherata per zona. Se la zona viene omessa, verrà utilizzata la zona predefinita. Se
il masquerading è stato abilitato con un timeout, verrà disabilitato anche questo.
Per IPv6 mascheramento, per favore usa il linguaggio ricco.
[--permanente] [--zona=zona] --query-mascherata
Restituisci se IPv4 il mascheramento è stato abilitato per zona. Se la zona è omessa,
verrà utilizzata la zona predefinita. Restituisce 0 se vero, 1 altrimenti.
Per IPv6 mascheramento, per favore usa il linguaggio ricco.
[--permanente] [--zona=zona] --list-rich-regole
Elenca le regole linguistiche avanzate aggiunte per zona come un elenco separato da nuova riga. Se la zona è
omesso, verrà utilizzata la zona predefinita.
[--permanente] [--zona=zona] --regola-aggiungi-ricchi='regola'[--tempo scaduto=valore temporale]
Aggiungi regola della lingua avanzata 'regola' per zona. Questa opzione può essere specificata più volte.
Se la zona viene omessa, verrà utilizzata la zona predefinita. Se viene fornito un timeout, il regola andrete a
essere attivo per il periodo di tempo specificato e verrà rimosso automaticamente
successivamente. valore temporale è un numero (di secondi) o un numero seguito da uno di
caratteri s (secondi), m (minuti), h (ore), per esempio 20m or 1h.
Per la sintassi delle regole del linguaggio avanzato, dai un'occhiata a firewalld.richlingual(5).
Le --tempo scaduto l'opzione non è cumulabile con --permanente opzione.
[--permanente] [--zona=zona] --rimuovi-regola-ricchi='regola'
Rimuovi la regola del linguaggio avanzato 'regola' a partire dal zona. Questa opzione può essere specificata più volte
volte. Se la zona viene omessa, verrà utilizzata la zona predefinita.
Per la sintassi delle regole del linguaggio avanzato, dai un'occhiata a firewalld.richlingual(5).
[--permanente] [--zona=zona] --query-rich-regola='regola'
Restituisci se una regola del linguaggio avanzato 'regola' è stato aggiunto per zona. Se la zona è
omesso, verrà utilizzata la zona predefinita. Restituisce 0 se vero, 1 altrimenti.
Per la sintassi delle regole del linguaggio avanzato, dai un'occhiata a firewalld.richlingual(5).
Opzioni a Handle Associazioni of interfacce
Associare un'interfaccia a una zona significa che queste impostazioni di zona vengono utilizzate per limitare il traffico
tramite l'interfaccia.
Le opzioni in questa sezione interessano solo una zona particolare. Se usato con --zona=zona opzione,
interessano la zona zona. Se l'opzione viene omessa, influiscono sulla zona predefinita (vedi
--get-default-zona).
Per un elenco di zone predefinite utilizzare firewall-cmd --get-zone.
Un nome di interfaccia è una stringa lunga fino a 16 caratteri, che potrebbe non contenere ' ', "/", '!'
e a '*'.
[--permanente] [--zona=zona] --list-interfacce
Elenca le interfacce che sono legate alla zona zona come elenco separato da spazi. Se la zona è
omesso, verrà utilizzata la zona predefinita.
[--permanente] [--zona=zona] --aggiungi-interfaccia=interfaccia
Interfaccia di associazione interfaccia a zona zona. Se la zona viene omessa, verrà utilizzata la zona predefinita.
Come utente finale non ne hai bisogno nella maggior parte dei casi, perché NetworkManager (o legacy
servizio di rete) aggiunge automaticamente le interfacce alle zone (secondo ZONA= opzione
da ifcfg-interfaccia file) se NM_CONTROLLED=n non è impostato. Dovresti farlo solo se
non c'è /etc/sysconfig/network-scripts/ifcfg-interfaccia file. Se esiste tale file
e aggiungi l'interfaccia alla zona con questo --aggiungi-interfaccia opzione, assicurati che la zona sia
lo stesso in entrambi i casi, altrimenti il comportamento sarebbe indefinito. Si prega di avere anche un
guarda al firewalld(1) pagina man nel concetti sezione. Per associazione permanente
di interfaccia con una zona, vedi anche 'Come impostare o modificare una zona per una connessione?' in
firewalld.zones(5).
[--zona=zona] --cambiare-interfaccia=interfaccia
Cambia zona l'interfaccia interfaccia è legato a zona zona. È fondamentalmente
--rimuovi-interfaccia seguito da --aggiungi-interfaccia. Se l'interfaccia non è stata associata a
una zona prima, si comporta come --aggiungi-interfaccia. Se la zona viene omessa, la zona predefinita lo farà
essere usato.
[--permanente] [--zona=zona] --interfaccia-query=interfaccia
Interroga se interfaccia interfaccia è legato alla zona zona. Restituisce 0 se vero, 1
altrimenti.
[--permanente] --rimuovi-interfaccia=interfaccia
Rimuovi il legame dell'interfaccia interfaccia dalla zona a cui è stato precedentemente aggiunto.
Opzioni a Handle Associazioni of fonti
Associare una sorgente a una zona significa che le impostazioni di questa zona verranno utilizzate per limitare il traffico
da questa fonte.
Un indirizzo di origine o un intervallo di indirizzi è un indirizzo IP o un indirizzo IP di rete con a
maschera per IPv4 o IPv6 o un indirizzo MAC (nessuna maschera). Per IPv4, la maschera può essere una maschera di rete
o un numero normale. Per IPv6 la maschera è un numero normale. L'uso dei nomi host non lo è
supportato.
Le opzioni in questa sezione interessano solo una zona particolare. Se usato con --zona=zona opzione,
interessano la zona zona. Se l'opzione viene omessa, influiscono sulla zona predefinita (vedi
--get-default-zona).
Per un elenco di zone predefinite utilizzare firewall-cmd [--permanente] --get-zone.
[--permanente] [--zona=zona] --list-sources
Elenca le sorgenti che sono legate alla zona zona come elenco separato da spazi. Se la zona è
omesso, verrà utilizzata la zona predefinita.
[--permanente] [--zona=zona] --add-source=source[/mask]
Associa origine source[/mask] alla zona zona. Se la zona viene omessa, verrà utilizzata la zona predefinita.
[--zona=zona] --cambia-fonte=source[/mask]
Cambia zona la sorgente source[/mask] è legato alla zona zona. È fondamentalmente
--rimuovi-sorgente seguito da --add-source. Se la sorgente non è stata vincolata a una zona
prima, si comporta come --add-source. Se la zona viene omessa, verrà utilizzata la zona predefinita.
[--permanente] [--zona=zona] --query-source=source[/mask]
Chiedi se la fonte source[/mask] è legato alla zona zona. Restituisce 0 se vero, 1
altrimenti.
[--permanente] --rimuovi-sorgente=source[/mask]
Rimuovi il legame della fonte source[/mask] dalla zona a cui è stato precedentemente aggiunto.
Set IPS Opzioni
--permanente --nuovo-ipset=ipsset --genere=ipsset Digitare [--opzione=ipsset opzione[=APPREZZIAMO]]
Aggiungi un nuovo ipset permanente specificando il tipo e le opzioni facoltative.
--permanente --delete-ipset=ipsset
Elimina un ipset permanente esistente.
[--permanente] --info-ipset=ipsset
Stampa informazioni sull'ipset ipsset. Il formato di output è:
ipsset
Digitare: Digitare
opzioni: opzione1[=valore1] ..
inserimenti: entrata1 ..
[--permanente] --get-ipset
Stampa gli ipset predefiniti come un elenco separato da spazi.
[--permanente] --ipset=ipsset --voce aggiunta=iscrizione
Aggiungi una nuova voce all'ipset.
[--permanente] --ipset=ipsset --rimuovi-voce=iscrizione
Rimuovere una voce dall'ipset.
[--permanente] --ipset=ipsset --voce-query=iscrizione
Restituisce se la voce è stata aggiunta a un ipset. Restituisce 0 se vero, 1 altrimenti.
[--permanente] --ipset=ipsset --get-entry
Elenca tutte le voci dell'ipset.
Servizi Opzioni
Le opzioni in questa sezione interessano solo un particolare servizio.
[--permanente] --servizio-info=INSTALLAZIONE
Stampa le informazioni sul servizio INSTALLAZIONE. Il formato di output è:
INSTALLAZIONE
porti: port1 ..
protocolli: protocollo1 ..
moduli: modulo 1 ..
destinazione: ipv1:address1 ..
Le seguenti opzioni sono utilizzabili solo nella configurazione permanente.
--permanente --nuovo-servizio=INSTALLAZIONE
Aggiungi un nuovo servizio permanente.
--permanente --elimina-servizio=INSTALLAZIONE
Elimina un servizio permanente esistente.
--permanente --servizio=INSTALLAZIONE --aggiungi-porta=porto[-porto]/protocollo
Aggiungi una nuova porta al servizio permanente.
--permanente --servizio=INSTALLAZIONE --rimuovi-porta=porto[-porto]/protocollo
Rimuovere una porta dal servizio permanente.
--permanente --servizio=INSTALLAZIONE --porta-query=porto[-porto]/protocollo
Rientro se il porto è stato aggiunto al servizio permanente.
--permanente --servizio=INSTALLAZIONE --get-port
Elenca le porte aggiunte al servizio permanente.
--permanente --servizio=INSTALLAZIONE --add-protocollo=protocollo
Aggiungi un nuovo protocollo al servizio permanente.
--permanente --servizio=INSTALLAZIONE --rimuovi-protocollo=protocollo
Rimuovere un protocollo dal servizio permanente.
--permanente --servizio=INSTALLAZIONE --protocollo-query=protocollo
Restituire se il protocollo è stato aggiunto al servizio permanente.
--permanente --servizio=INSTALLAZIONE --get-protocolli
Elenca i protocolli aggiunti al servizio permanente.
--permanente --servizio=INSTALLAZIONE --aggiungi-modulo=modulo
Aggiungi un nuovo modulo al servizio permanente.
--permanente --servizio=INSTALLAZIONE --rimuovi-modulo=modulo
Rimuovere un modulo dal servizio permanente.
--permanente --servizio=INSTALLAZIONE --modulo-query=modulo
Restituire se il modulo è stato aggiunto al servizio permanente.
--permanente --servizio=INSTALLAZIONE --get-moduli
Elenca i moduli aggiunti al servizio permanente.
--permanente --servizio=INSTALLAZIONE --aggiungi-destinazione=IPV:indirizzo[/mask]
Imposta la destinazione per ipv su address[/mask] nel servizio permanente.
--permanente --servizio=INSTALLAZIONE --rimuovi-destinazione=IPV
Rimuovere la destinazione per ipv dal servizio permanente.
--permanente --servizio=INSTALLAZIONE --query-destinazione=IPV:indirizzo[/mask]
Ritorna se l'ipv di destinazione all'indirizzo[/mask] è stato impostato nel permanente
servizio.
--permanente --servizio=INSTALLAZIONE --get-destinazioni
Elenca le destinazioni aggiunte al servizio permanente.
Internet Controllo Messaggio Protocollo (ICMP) Digitare Opzioni
Le opzioni in questa sezione influiscono solo su un particolare tipo di icmp.
[--permanente] --info-icmptype=tipo icmp
Stampa informazioni su icmptype tipo icmp. Il formato di output è:
tipo icmp
destinazione: ipv1 ..
Le seguenti opzioni sono utilizzabili solo nella configurazione permanente.
--permanente --new-icmptype=tipo icmp
Aggiungi un nuovo icmptype permanente.
--permanente --delete-icmptype=tipo icmp
Elimina un icmptype permanente esistente.
--permanente --icmptype=tipo icmp --aggiungi-destinazione=IPV
Abilita la destinazione per ipv in icmptype permanente. ipv è uno di ipv4 or ipv6.
--permanente --icmptype=tipo icmp --rimuovi-destinazione=IPV
Disabilita la destinazione per ipv in icmptype permanente. ipv è uno di ipv4 or ipv6.
--permanente --icmptype=tipo icmp --query-destinazione=IPV
Restituisce se la destinazione per ipv è abilitata in icmptype permanente. ipv è uno di
ipv4 or ipv6.
--permanente --icmptype=tipo icmp --get-destinazioni
Elenca le destinazioni in icmptype permanente.
Direct Opzioni
Le opzioni dirette danno un accesso più diretto al firewall. Queste opzioni richiedono l'utente
conoscere i concetti di base di iptables, ad es tavolo (filtro/mangiare/nat/...), catena
(INGRESSO/USCITA/AVANTI/...), comandi (-LA/-RE/-MI/...), parametri (-p/-s/-d/-j/...) e
obiettivi (ACCETTA/RILASCIA/RIFIUTA/...).
Le opzioni dirette dovrebbero essere utilizzate solo come ultima risorsa quando non è possibile utilizzarle per
esempio --aggiungi-servizio=INSTALLAZIONE or --regola-aggiungi-ricchi='regola'.
Il primo argomento di ogni opzione deve essere ipv4 or ipv6 or eb. Con ipv4 sarà per
IPv4 (iptables(8)), con ipv6 per IPv6 (ip6tables(8)) e con eb per i ponti ethernet
(betabili(8)).
[--permanente] --diretto --get-all-catene
Ottieni tutte le catene aggiunte a tutte le tabelle. Questa opzione riguarda solo le catene aggiunte in precedenza
con --diretto --aggiungi-catena.
[--permanente] --diretto --get-catene { ipv4 | ipv6 | eb } tavolo
Aggiungi tutte le catene alla tabella tavolo come elenco separato da spazi. Questa opzione riguarda
solo catene precedentemente aggiunte con --diretto --aggiungi-catena.
[--permanente] --diretto --aggiungi-catena { ipv4 | ipv6 | eb } tavolo catena
Aggiungi una nuova catena con nome catena al tavolo tavolo. Assicurati che non ci siano altre catene con
già questo nome.
Esistono già catene di base da utilizzare con le opzioni dirette, ad esempio INPUT_diretto
catena (vedi iptables-salva | grep dirette uscita per tutti loro). Queste catene sono
saltato prima delle catene per le zone, cioè ogni regola inserita INPUT_diretto sarà
controllato prima delle regole nelle zone.
[--permanente] --diretto --rimuovi-catena { ipv4 | ipv6 | eb } tavolo catena
Rimuovi catena con nome catena dal tavolo tavolo. Solo catene precedentemente aggiunte con
--diretto --aggiungi-catena può essere rimosso in questo modo.
[--permanente] --diretto --catena di query { ipv4 | ipv6 | eb } tavolo catena
Restituisci se una catena con nome catena esiste nella tabella tavolo. Restituisce 0 se vero, 1
altrimenti. Questa opzione riguarda solo le catene precedentemente aggiunte con --diretto
--aggiungi-catena.
[--permanente] --diretto --get-all-regole
Ottieni tutte le regole aggiunte a tutte le catene in tutte le tabelle come un elenco separato da nuova riga di
priorità e argomenti. Questa opzione riguarda solo le regole aggiunte in precedenza con --diretto
--aggiungi-regola.
[--permanente] --diretto --get-regole { ipv4 | ipv6 | eb } tavolo catena
Ottieni tutte le regole aggiunte alla catena catena in tabella tavolo come un elenco separato da una nuova riga di
priorità e argomenti. Questa opzione riguarda solo le regole aggiunte in precedenza con --diretto
--aggiungi-regola.
[--permanente] --diretto --aggiungi-regola { ipv4 | ipv6 | eb } tavolo catena priorità args
Aggiungi una regola con gli argomenti args incatenare catena in tabella tavolo con priorità
priorità.
Le priorità serve per ordinare le regole. Priorità 0 significa aggiungere la regola in cima alla catena,
con una priorità più alta la regola verrà aggiunta più in basso. Regole con lo stesso
priorità sono sullo stesso livello e l'ordine di queste regole non è fisso e può
modificare. Se vuoi assicurarti che una regola venga aggiunta dopo un'altra, usa a
priorità bassa per la prima e maggiore per le successive.
[--permanente] --diretto --rimuovi-regola { ipv4 | ipv6 | eb } tavolo catena priorità args
Rimuovi una regola con priorità e gli argomenti args dalla catena catena in tabella tavolo.
Solo regole aggiunte in precedenza con --diretto --aggiungi-regola può essere rimosso in questo modo.
[--permanente] --diretto --rimuovi-regole { ipv4 | ipv6 | eb } tavolo catena
Rimuovi tutte le regole nella catena con nome catena esiste nella tabella tavolo. Questa opzione
riguarda solo le regole aggiunte in precedenza con --diretto --aggiungi-regola in questa catena.
[--permanente] --diretto --regola-query { ipv4 | ipv6 | eb } tavolo catena priorità args
Restituire se una regola con priorità e gli argomenti args esiste in catena catena in
tavolo tavolo. Restituisce 0 se vero, 1 altrimenti. Questa opzione riguarda solo le regole
precedentemente aggiunto con --diretto --aggiungi-regola.
--diretto --passante { ipv4 | ipv6 | eb } args
Passa un comando al firewall. args può essere tutto iptables, ip6tables e a
betabili argomenti della riga di comando. Questo comando non è tracciato, il che significa che firewalld
non è in grado di fornire informazioni su questo comando in un secondo momento, nemmeno un elenco di
i passaporti non tracciati.
[--permanente] --diretto --get-all-passthrough
Ottieni tutte le regole passthrough come un elenco separato da nuova riga del valore e degli argomenti ipv.
[--permanente] --diretto --get-passthrough { ipv4 | ipv6 | eb }
Ottieni tutte le regole passthrough per il valore ipv come un elenco separato da nuova riga di
priorità e argomenti.
[--permanente] --diretto --add-passthrough { ipv4 | ipv6 | eb } args
Aggiungi una regola passthrough con gli argomenti args per il valore ipv.
[--permanente] --diretto --rimuovi-passthrough { ipv4 | ipv6 | eb } args
Rimuovi una regola passthrough con gli argomenti args per il valore ipv.
[--permanente] --diretto --query-passthrough { ipv4 | ipv6 | eb } args
Restituisce se una regola passthrough con gli argomenti args esiste per il valore ipv.
Restituisce 0 se vero, 1 altrimenti.
Lockdown Opzioni
Le applicazioni o i servizi locali sono in grado di modificare la configurazione del firewall se lo sono
in esecuzione come root (esempio: libvirt) o sono autenticati utilizzando PolicyKit. Con questa funzione
gli amministratori possono bloccare la configurazione del firewall in modo che solo le applicazioni in blocco
whitelist sono in grado di richiedere modifiche al firewall.
Il controllo dell'accesso al blocco limita i metodi D-Bus che modificano le regole del firewall. domanda,
i metodi list e get non sono limitati.
La funzione di blocco è una versione molto leggera dei criteri per utenti e applicazioni per
firewalld ed è disattivato per impostazione predefinita.
--blocco attivo
Abilita il blocco. Fai attenzione: se firewall-cmd non è nella whitelist di blocco quando lo fai
abilita il blocco non sarai in grado di disabilitarlo di nuovo con firewall-cmd, lo faresti
è necessario modificare firewalld.conf.
Si tratta di un runtime e di una modifica permanente.
--blocco-off
Disabilita il blocco.
Si tratta di un runtime e di una modifica permanente.
--blocco delle query
Interroga se il blocco è abilitato. Restituisce 0 se il blocco è abilitato, 1 altrimenti.
Lockdown Whitelist Opzioni
La whitelist di blocco può contenere comandi, contesti, utenti e a Utente ids.
Se una voce di comando nella whitelist termina con un asterisco '*', allora tutte le righe di comando
iniziando con il comando corrisponderà. Se il '*' non è presente il comando assoluto
gli argomenti inclusivi devono corrispondere.
I comandi per l'utente root e altri non sono sempre gli stessi. Esempio: come root
/bin/firewall-cmd viene utilizzato, come un utente normale /usr/bin/firewall-cmd viene utilizzato su Fedora.
Il contesto è il contesto di sicurezza (SELinux) di un'applicazione o di un servizio in esecuzione. Ottenere
il contesto dell'uso di un'applicazione in esecuzione ps -e --contesto.
Attenzione: Se il contesto non è confinato, questo aprirà l'accesso per più del
applicazione desiderata.
Le voci della whitelist di blocco vengono controllate nel seguente ordine:
1. contesto
2. uid
3. Utente
4. command
[--permanente] --list-lockdown-whitelist-comandi
Elenca tutte le righe di comando presenti nella whitelist.
[--permanente] --add-lockdown-whitelist-comando=command
Aggiungere il command alla lista bianca.
[--permanente] --remove-lockdown-whitelist-comando=command
Rimuovi il command dalla lista bianca.
[--permanente] --query-lockdown-whitelist-comando=command
Domanda se il command è nella lista bianca. Restituisce 0 se vero, 1 altrimenti.
[--permanente] --list-lockdown-whitelist-contexts
Elenca tutti i contesti presenti nella whitelist.
[--permanente] --add-lockdown-whitelist-context=contesto
Aggiungi il contesto contesto alla lista bianca.
[--permanente] --remove-lockdown-whitelist-contesto=contesto
Rimuovi il contesto dalla lista bianca.
[--permanente] --query-lockdown-whitelist-context=contesto
Domanda se il contesto è nella lista bianca. Restituisce 0 se vero, 1 altrimenti.
[--permanente] --list-lockdown-whitelist-uid
Elenca tutti gli ID utente presenti nella whitelist.
[--permanente] --add-lockdown-whitelist-uid=uid
Aggiungi l'ID utente uid alla lista bianca.
[--permanente] --remove-lockdown-whitelist-uid=uid
Rimuovi l'ID utente uid dalla lista bianca.
[--permanente] --query-lockdown-whitelist-uid=uid
Interroga se l'ID utente uid è nella lista bianca. Restituisce 0 se vero, 1 altrimenti.
[--permanente] --list-lockdown-whitelist-utenti
Elenca tutti i nomi utente presenti nella whitelist.
[--permanente] --add-lockdown-whitelist-utente=Utente
Aggiungi il nome utente Utente alla lista bianca.
[--permanente] --remove-lockdown-utente-whitelist=Utente
Rimuovi il nome utente Utente dalla lista bianca.
[--permanente] --query-lockdown-utente-whitelist=Utente
Interroga se il nome utente Utente è nella lista bianca. Restituisce 0 se vero, 1 altrimenti.
Panico Opzioni
--panico
Abilita la modalità panico. Tutti i pacchetti in entrata e in uscita vengono eliminati, connessioni attive
scadrà. Abilitalo solo se ci sono problemi seri con la tua rete
ambiente. Ad esempio, se la macchina viene hackerata.
Questa è una modifica solo in fase di esecuzione.
-- panico-off
Disabilita la modalità panico. Dopo aver disabilitato la modalità panico, le connessioni stabilite potrebbero funzionare
ancora, se la modalità panico è stata abilitata per un breve periodo di tempo.
Questa è una modifica solo in fase di esecuzione.
--query-panico
Restituisce 0 se la modalità panico è abilitata, 1 altrimenti.
ESEMPI
Per altri esempi vedi http://fedoraproject.org/wiki/FirewallD
Esempio 1
Abilita il servizio http nella zona predefinita. Questa è solo una modifica in fase di esecuzione, vale a dire valida fino a
riavviare.
firewall-cmd --add-service=http
Esempio 2
Abilita la porta 443/tcp immediatamente e permanentemente nella zona predefinita. Per fare il cambiamento
efficace immediatamente e anche dopo il riavvio abbiamo bisogno di due comandi. Il primo comando fa
la modifica della configurazione di runtime, ovvero la rende immediatamente effettiva, fino al riavvio.
Il secondo comando rende la modifica in configurazione permanente, cioè la rende effettiva
dopo il riavvio.
firewall-cmd --add-port=443/tcp
firewall-cmd --permanent --add-port = 443 / tcp
EXIT CODICI
In caso di successo viene restituito 0. In caso di errore, l'uscita è di colore rosso e il codice di uscita è 2
in caso di utilizzo errato dell'opzione della riga di comando o di uno dei seguenti codici di errore in altri
casi:
?
│Corda │ Code │
?
│GIA_ABILITATO │ 11 │
?
│NON_ABILITATO │ 12 │
?
COMANDO_FAILED 13
?
│NO_IPV6_NAT 14
?
│PANIC_MODE 15 │
?
│ZONE_GI_SET │ 16 │
?
│UNKNOWN_INTERFACE 17
?
│CONFLITTO_ZONA 18
?
BUILTIN_CHAIN 19
?
EBTABLES_NO_REJECT 20
?
NOT_OVERLOADABLE │ 21 │
?
│NO_DEFAULTS 22 │
?
│BUILTIN_ZONE 23 │
?
│BUILTIN_SERVICE 24
?
BUILTIN_ICMPTYPE 25
?
NAME_CONFLICT 26
?
NAME_MISMATCH 27
?
│PARSE_ERROR 28 │
?
│ACCESS_DENIED 29
?
UNKNOWN_SOURCE 30
?
RT_TO_PERM_FAILED 31
?
IPSET_WITH_TIMEOUT 32
?
BUILTIN_IPSET 33
?
GI_SET │ 34 │
?
INVALID_ACTION │ 100
?
INVALID_SERVICE 101
?
INVALID_PORT │ 102 │
?
INVALID_PROTOCOL 103 │
?
│INVALID_INTERFACE 104 │
?
INVALID_ADDR │ 105
?
INVALID_FORWARD 106
?
INVALID_ICMPTYPE 107
?
INVALID_TABLE │ 108 │
?
INVALID_CHAIN 109
?
INVALID_TARGET 110
?
INVALID_IPV 111
?
│INVALID_ZONE │ 112
?
INVALID_PROPERTY 113 │
?
INVALID_VALUE 114
?
INVALID_OBJECT │ 115
?
INVALID_NAME 116
?
INVALID_FILENAME 117 │
?
INVALID_DIRECTORY 118
?
INVALID_TYPE │ 119 │
?
INVALID_SETTING │ 120 │
?
INVALID_DESTINATION │ 121 │
?
INVALID_RULE 122
?
INVALID_LIMIT │ 123
?
INVALID_FAMILY 124 │
?
INVALID_LOG_LEVEL 125
?
INVALID_AUDIT_TYPE 126
?
INVALID_MARK 127 │
?
INVALID_CONTEXT 128 │
?
│INVALID_COMMAND 129
?
INVALID_USER 130
?
INVALID_UID 131
?
INVALID_MODULE 132 │
?
INVALID_PASSTHROUGH 133
?
INVALID_MAC 134
?
INVALID_IPSET 135
?
INVALID_ENTRY 136
?
INVALID_OPTION │ 137 │
?
MISSING_TABLE │ 200 │
?
MISSING_CHAIN 201 │
?
MISSING_PORT │ 202 │
?
MISSING_PROTOCOL │ 203
?
MISSING_ADDR │ 204
?
MISSING_NAME │ 205 │
?
MISSING_SETTING │ 206 │
?
MISSING_FAMILY 207 │
?
NON_RUNNING │ 252 │
?
NOT_AUTHORIZED │ 253 │
?
UNKNOWN_ERROR 254
?
Usa firewall-cmd online utilizzando i servizi onworks.net
