Это команда firewall-offline-cmd, которую можно запустить в провайдере бесплатного хостинга OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
firewall-offline-cmd - автономный клиент командной строки firewalld
СИНТАКСИС
брандмауэр офлайн-cmd [ПАРАМЕТРЫ...]
ОПИСАНИЕ
firewall-offline-cmd - это автономный клиент командной строки демона firewalld. Должно
использоваться, только если служба firewalld не запущена. Например, чтобы перейти с
system-config-firewall / lokkit или в среде установки для настройки параметров брандмауэра
с кикстартом.
Некоторые параметры lokkit не могут быть автоматически преобразованы для firewalld, они приведут к
сообщение об ошибке или предупреждение. Этот инструмент пытается конвертировать как можно больше, но есть
ограничения, например, с настраиваемыми правилами, модулями и маскировкой.
После использования этого инструмента проверьте конфигурацию брандмауэра.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
Если параметры не указаны, конфигурация из / и т. д. / sysconfig / system-config-firewall будет
мигрировали.
Поддерживаются следующие варианты:
Помощь Возможности
-h, --Помогите
Печатает краткий справочный текст и существует.
Статус: Возможности
--включено
Включите брандмауэр. Этот параметр используется по умолчанию и активирует брандмауэр, если
еще не включен, пока опция --отключен не дано.
--отключен
Отключите брандмауэр, отключив службу firewalld.
Локкит Совместимость Возможности
Эти параметры практически идентичны вариантам локкит.
--добавить модуль=модуль
Эта опция приведет к предупреждающему сообщению и будет проигнорирована.
Обработка помощников netfilter была полностью объединена с сервисами. Добавление или
Следовательно, удаление помощников netfilter вне служб больше не требуется. За
дополнительную информацию о работе с помощниками netfilter в сервисах см.
firewalld.zone(5).
--removemodule
Эта опция приведет к предупреждающему сообщению и будет проигнорирована.
Обработка помощников netfilter была полностью объединена с сервисами. Добавление или
Следовательно, удаление помощников netfilter вне служб больше не требуется. За
дополнительную информацию о работе с помощниками netfilter в сервисах см.
firewalld.zone(5).
- удалить-сервис=СЕРВИС
Удалить службу из зоны по умолчанию. Этот параметр можно указывать несколько раз.
Сервис является одним из сервисов, предоставляемых firewalld. Чтобы получить список поддерживаемых
услуги, использование брандмауэр-CMD --получить-услуги.
-s СЕРВИС, --услуга=СЕРВИС
Добавить службу в зону по умолчанию. Этот параметр можно указывать несколько раз.
Сервис является одним из сервисов, предоставляемых firewalld. Чтобы получить список поддерживаемых
услуги, использование брандмауэр-CMD --получить-услуги.
-p портид[-портид]:протокол, --порт=портид[-портид]:протокол
Добавьте порт в зону по умолчанию. Этот параметр можно указывать несколько раз.
Порт может быть либо одним номером порта, либо диапазоном портов. портид-портид,
протокол может быть TCP or UDP.
-t интерфейс, --доверять=интерфейс
Эта опция приведет к предупреждающему сообщению.
Отметьте интерфейс как надежный. Этот параметр можно указывать несколько раз. В
интерфейс будет привязан к доверенной зоне.
Если интерфейс используется в управляемом соединении NetworkManager или если есть
ifcfg для этого интерфейса, зона будет изменена на зону, определенную в
конфигурации, как только она будет активирована. Для изменения зоны подключения используйте
nm-соединение-редактор и установите зону как доверенную, для файла ifcfg используйте редактор и
добавить «ZONE = доверенный». Если зона не определена в файле ifcfg, firewalld
будет использоваться зона по умолчанию.
-m интерфейс, --masq=интерфейс
Эта опция приведет к предупреждающему сообщению.
В зоне по умолчанию будет включен маскарадинг. Аргумент интерфейса будет
игнорируется. Это для IPv4 только.
--пользовательские правила=[напишите:] [(см. таблицу ниже):]имя файла
Эта опция приведет к предупреждающему сообщению и будет проигнорирована.
Файлы пользовательских правил не поддерживаются firewalld.
- форвард-порт= если =интерфейс: порт =порт: proto =протокол[: toport =назначение
порт:] [: toaddr =назначение адрес]
Эта опция приведет к предупреждающему сообщению.
Добавьте IPv4 перенаправить порт в зону по умолчанию. Этот параметр можно указать несколько
раз.
Порт может быть одним номером порта. портид или диапазон портов портид-портид,
протокол может быть TCP or UDP. Адрес назначения - это IP-адрес.
--block-icmp=тип ICMP
Эта опция приведет к предупреждающему сообщению.
Добавьте блок ICMP для тип ICMP в зоне по умолчанию. Этот вариант можно указать
много раз.
Команда тип ICMP является одним из типов icmp, поддерживаемых firewalld. Чтобы получить список
поддерживаемые типы icmp: брандмауэр-CMD --get-icmptypes
Область Возможности
--get-default-zone
Распечатать зону по умолчанию для соединений и интерфейсов.
--set-зона по умолчанию=зона
Установите зону по умолчанию для подключений и интерфейсов, где не выбрана ни одна зона.
Установка зоны по умолчанию изменяет зону для подключений или интерфейсов, которые
используя зону по умолчанию.
--get-зоны
Распечатайте предварительно определенные зоны в виде списка, разделенного пробелами.
--получить-услуги
Распечатайте предварительно определенные службы в виде списка, разделенного пробелами.
--get-icmptypes
Вывести предопределенные типы icmptypes в виде списка, разделенного пробелами.
--get-зона-интерфейса=интерфейс
Выведите название зоны интерфейс привязан к или нет зона.
--get-зона-источника=источник[/маска]
Выведите название зоны источник[/маска] привязан к или нет зона.
--info-zone =зона
Распечатать информацию о зоне зона. Формат вывода:
зона
интерфейсы: интерфейс1 ..
Источники: source1 ..
услуги: service1 ..
порты: port1 ..
протоколы: протокол1 ..
вперед-порты:
форвард-порт1
..
ICMP-блоки: ICMP-тип1 ..
богатые правила:
богатое правило1
..
--list-все-зоны
Перечислите все, что добавлено или включено во всех зонах. Формат вывода:
zone1
интерфейсы: интерфейс1 ..
Источники: source1 ..
услуги: service1 ..
порты: port1 ..
протоколы: протокол1 ..
вперед-порты:
форвард-порт1
..
ICMP-блоки: ICMP-тип1 ..
богатые правила:
богатое правило1
..
..
--новая зона=зона
Добавьте новую постоянную зону.
--delete-зона=зона
Удалить существующую постоянную зону.
--зона=зона --получить цель
Получите цель постоянной зоны.
--зона=зона --set-цель=зона
Установите цель постоянной зоны.
Возможности в Приспосабливать и запрос Зоны
Параметры в этом разделе влияют только на одну конкретную зону. Если используется с --зона=зона вариант,
они влияют на зону зона. Если опция не указана, они влияют на зону по умолчанию (см.
--get-default-zone).
[--зона=зона] --список-все
Перечислить все, что было добавлено или включено в зона. Если зона не указана, зона по умолчанию будет
используемый.
[--зона=зона] --list-услуги
Список услуг, добавленных для зона как список, разделенный пробелами. Если зона не указана, по умолчанию
зона будет использоваться.
[--зона=зона] --добавить сервис=СЕРВИС
Добавить услугу для зона. Если зона не указана, будет использоваться зона по умолчанию. Эта опция может
указывать несколько раз.
Сервис является одним из сервисов, предоставляемых firewalld. Чтобы получить список поддерживаемых
услуги, использование брандмауэр-CMD --получить-услуги.
[--зона=зона] --удалить-службу-из-зоны=СЕРВИС
Удалить услугу из зона. Этот параметр можно указывать несколько раз. Если зона
опущено, будет использоваться зона по умолчанию.
[--зона=зона] --запрос-сервис=СЕРВИС
Вернуть ли СЕРВИС был добавлен для зона. Если зона не указана, зона по умолчанию будет
использоваться. Возвращает 0, если истина, в противном случае - 1.
[--зона=зона] --list-порты
Список портов, добавленных для зона как список, разделенный пробелами. Порт имеет форму
портид[-портид]/протокол, это может быть либо пара порта и протокола, либо диапазон портов.
с протоколом. Если зона не указана, будет использоваться зона по умолчанию.
[--зона=зона] --добавить порт=портид[-портид]/протокол
Добавьте порт для зона. Если зона не указана, будет использоваться зона по умолчанию. Эта опция может
указывать несколько раз.
Порт может быть либо одним номером порта, либо диапазоном портов. портид-портид,
протокол может быть TCP or UDP.
[--зона=зона] --remove-порт=портид[-портид]/протокол
Удалите порт из зона. Если зона не указана, будет использоваться зона по умолчанию. Этот вариант
можно указывать несколько раз.
[--зона=зона] --запрос-порт=портид[-портид]/протокол
Вернуть, был ли добавлен порт для зона. Если зона не указана, зона по умолчанию будет
использоваться. Возвращает 0, если истина, в противном случае - 1.
[--зона=зона] --list-протоколы
Список протоколов, добавленных для зона как список, разделенный пробелами. Если зона не указана, по умолчанию
зона будет использоваться.
[--зона=зона] --add-протокол=протокол
Добавьте протокол для зона. Если зона не указана, будет использоваться зона по умолчанию. Этот вариант
можно указывать несколько раз. Если задан тайм-аут, правило будет активно в течение
указанное количество времени и будет автоматически удален после этого. время is
либо число (секунд), либо число, за которым следует один из символов s (секунды), m
(минуты), h (часы), например 20m or 1h.
Протокол может быть любым протоколом, поддерживаемым системой. Пожалуйста, посмотрите на
/ и т.д. / протоколы для поддерживаемых протоколов.
[--зона=зона] --remove-протокол=протокол
Удалить протокол из зона. Если зона не указана, будет использоваться зона по умолчанию. Этот
параметр можно указывать несколько раз.
[--зона=зона] --запрос-протокол=протокол
Вернуть, был ли добавлен протокол для зона. Если зона опущена, зона по умолчанию
будет использоваться. Возвращает 0, если истина, в противном случае - 1.
[--зона=зона] --list-icmp-блоки
Список блоков типа протокола управляющих сообщений Интернета (ICMP), добавленных для зона как пространство
разделенный список. Если зона не указана, будет использоваться зона по умолчанию.
[--зона=зона] --добавить icmp-блок=тип ICMP
Добавьте блок ICMP для тип ICMP для зона. Если зона не указана, зона по умолчанию будет
использовал. Этот параметр можно указывать несколько раз.
Команда тип ICMP является одним из типов icmp, поддерживаемых firewalld. Чтобы получить список
поддерживаемые типы icmp: брандмауэр-CMD --get-icmptypes
[--зона=зона] --remove-icmp-блок=тип ICMP
Удалите блок ICMP для тип ICMP начиная с зона. Если зона не указана, зона по умолчанию будет
использовал. Этот параметр можно указывать несколько раз.
[--зона=зона] --query-icmp-блок=тип ICMP
Вернуть, есть ли блок ICMP для тип ICMP был добавлен для зона. Если зона не указана,
будет использоваться зона по умолчанию. Возвращает 0, если истина, в противном случае - 1.
[--зона=зона] --list-forward-ports
Список IPv4 прямые порты добавлены для зона как список, разделенный пробелами. Если зона не указана,
будет использоваться зона по умолчанию.
Что касается IPv6 переадресация портов, пожалуйста, используйте расширенный язык.
[--зона=зона]
--добавить-вперед-порт= порт =портид[-портид]: proto =протокол[: toport =портид[-портид]] [: toaddr =адрес[/маска]]
Добавьте IPv4 переадресация порта для зона. Если зона не указана, будет использоваться зона по умолчанию.
Этот параметр можно указывать несколько раз.
Порт может быть одним номером порта. портид или диапазон портов портид-портид,
протокол может быть TCP or UDP. Адрес назначения - это простой IP-адрес.
Что касается IPv6 переадресация портов, пожалуйста, используйте расширенный язык.
[--зона=зона]
--удалить-вперед-порт= порт =портид[-портид]: proto =протокол[: toport =портид[-портид]] [: toaddr =адрес[/маска]]
Удалить IPv4 переадресовать порт от зона. Если зона не указана, будет использоваться зона по умолчанию.
Этот параметр можно указывать несколько раз.
Что касается IPv6 переадресация портов, пожалуйста, используйте расширенный язык.
[--зона=зона]
--запрос-вперед-порт= порт =портид[-портид]: proto =протокол[: toport =портид[-портид]] [: toaddr =адрес[/маска]]
Вернуть ли IPv4 добавлен порт пересылки для зона. Если зона не указана,
будет использоваться зона по умолчанию. Возвращает 0, если истина, в противном случае - 1.
Что касается IPv6 переадресация портов, пожалуйста, используйте расширенный язык.
[--зона=зона] --добавить маскарад
Включите IPv4 маскарад для зона. Если зона не указана, будет использоваться зона по умолчанию.
Маскарад полезен, если машина является маршрутизатором, а машины подключены через
интерфейс в другой зоне должен иметь возможность использовать первое соединение.
Что касается IPv6 маскировка, пожалуйста, используйте богатый язык.
[--зона=зона] --удаление-маскарад
Отключить IPv4 маскарад для зона. Если зона не указана, будет использоваться зона по умолчанию.
Что касается IPv6 маскировка, пожалуйста, используйте богатый язык.
[--зона=зона] --запрос-маскарад
Вернуть ли IPv4 маскировка была включена для зона. Если зона не указана,
будет использоваться зона по умолчанию. Возвращает 0, если истина, в противном случае - 1.
Что касается IPv6 маскировка, пожалуйста, используйте богатый язык.
[--зона=зона] --list-богатые-правила
Перечислить правила расширенного языка, добавленные для зона как список, разделенный новой строкой. Если зона
опущено, будет использоваться зона по умолчанию.
[--зона=зона] --add-rich-правило='править'
Добавить правило расширенного языка 'править' за зона. Этот параметр можно указывать несколько раз.
Если зона не указана, будет использоваться зона по умолчанию.
Чтобы узнать о синтаксисе правил расширенного языка, ознакомьтесь с firewalld.richlanguage(5).
[--зона=зона] --remove-rich-правило='править'
Удалить правило расширенного языка 'править' из зона. Этот параметр можно указать несколько
раз. Если зона не указана, будет использоваться зона по умолчанию.
Чтобы узнать о синтаксисе правил расширенного языка, ознакомьтесь с firewalld.richlanguage(5).
[--зона=зона] --query-rich-правило='править'
Вернуть ли правило богатого языка 'править'добавлено для зона. Если зона
опущено, будет использоваться зона по умолчанию. Возвращает 0, если истина, в противном случае - 1.
Чтобы узнать о синтаксисе правил расширенного языка, ознакомьтесь с firewalld.richlanguage(5).
Возможности в Обрабатывание Наручники of Интерфейсы
Привязка интерфейса к зоне означает, что настройки этой зоны используются для ограничения трафика.
через интерфейс.
Параметры в этом разделе влияют только на одну конкретную зону. Если используется с --зона=зона вариант,
они влияют на зону зона. Если опция не указана, они влияют на зону по умолчанию (см.
--get-default-zone).
Для списка предопределенных зон используйте брандмауэр-CMD --get-зоны.
Имя интерфейса - это строка длиной до 16 символов, которая не может содержать ' ', '/', '!'
и '*'.
[--зона=зона] --list-интерфейсы
Список интерфейсов, привязанных к зоне зона как список, разделенный пробелами. Если зона
опущено, будет использоваться зона по умолчанию.
[--зона=зона] --добавить-интерфейс=интерфейс
Привязать интерфейс интерфейс в зону зона. Если зона не указана, будет использоваться зона по умолчанию.
[--зона=зона] --change-интерфейс=интерфейс
Изменить зону интерфейса интерфейс привязан к зоне зона. Если зона не указана,
будет использоваться зона по умолчанию. Если старая и новая зона совпадают, звонок будет проигнорирован.
без ошибки. Если интерфейс не был привязан к зоне раньше, он будет вести себя
" У аборигенов --добавить-интерфейс.
[--зона=зона] --запрос-интерфейс=интерфейс
Запросить ли интерфейс интерфейс привязан к зоне зона. Возвращает 0, если истина, 1
в противном случае.
[--зона=зона] --remove-интерфейс=интерфейс
Убрать привязку интерфейса интерфейс из зоны зона. Если зона опущена, зона по умолчанию
будет использоваться.
Возможности в Обрабатывание Наручники of Источники
Привязка источника к зоне означает, что настройки этой зоны будут использоваться для ограничения трафика.
из этого источника.
Исходный адрес или диапазон адресов - это либо IP-адрес, либо сетевой IP-адрес с
маска для IPv4 или IPv6 или MAC-адрес (без маски). Для IPv4 маска может быть сетевой маской.
или простой номер. Для IPv6 маска представляет собой простое число. Использование имен хостов не
поддерживается.
Параметры в этом разделе влияют только на одну конкретную зону. Если используется с --зона=зона вариант,
они влияют на зону зона. Если опция не указана, они влияют на зону по умолчанию (см.
--get-default-zone).
Для списка предопределенных зон используйте брандмауэр-CMD --get-зоны.
[--зона=зона] --список-источников
Список источников, привязанных к зоне зона как список, разделенный пробелами. Если зона
опущено, будет использоваться зона по умолчанию.
[--зона=зона] --добавить-источник=источник[/маска]
Источник привязки источник[/маска] в зону зона. Если зона не указана, будет использоваться зона по умолчанию.
[--зона=зона] --change-источник=источник[/маска]
Изменить зону источника источник[/маска] привязан к зоне зона. Если зона не указана,
будет использоваться зона по умолчанию. Если старая и новая зона совпадают, звонок будет проигнорирован.
без ошибки. Если источник не был привязан к зоне раньше, он будет вести себя
" У аборигенов --добавить-источник.
[--зона=зона] - источник запроса=источник[/маска]
Спросите, есть ли у источника источник[/маска] привязан к зоне зона. Возвращает 0, если истина, 1
в противном случае.
[--зона=зона] --удалить-источник=источник[/маска]
Удалить привязку источника источник[/маска] из зоны зона. Если зона не указана, по умолчанию
зона будет использоваться.
IPSet Возможности
--new-ipset=ipset --тип=ipset напишите [--вариант=ipset вариант[=ценностное ]]
Добавьте новый постоянный ipset с указанием типа и дополнительных опций.
--delete-ipset=ipset
Удалите существующий постоянный ipset.
--info-ipset =ipset
Распечатать информацию о ipset ipset. Формат вывода:
ipset
Тип: напишите
опции: option1 [= значение1] ..
записей: запись1 ..
--get-ipsets
Вывести предопределенные наборы IP-адресов в виде списка, разделенного пробелами.
--ipset=ipset --добавить запись=запись
Добавьте новую запись в ipset.
--ipset=ipset --remove-entry=запись
Удалите запись из ipset.
--ipset=ipset --запрос-запись=запись
Вернуть, добавлена ли запись в ipset. Возвращает 0, если истина, в противном случае - 1.
--ipset=ipset --get-записи
Список всех записей ipset.
Услуга Возможности
--info-service =СЕРВИС
Распечатать информацию об услуге СЕРВИС. Формат вывода:
СЕРВИС
порты: port1 ..
протоколы: протокол1 ..
модули: module1 ..
пункт назначения: ipv1:address1 ..
--новая услуга=СЕРВИС
Добавить новую постоянную услугу.
--удалить-сервис=СЕРВИС
Удалить существующую постоянную службу.
--услуга=СЕРВИС --добавить порт=портид[-портид]/протокол
Добавьте новый порт в постоянную службу.
--услуга=СЕРВИС --remove-порт=портид[-портид]/протокол
Удалите порт из постоянной службы.
--услуга=СЕРВИС --запрос-порт=портид[-портид]/протокол
Возврат, если порт добавлен в постоянную службу.
--услуга=СЕРВИС --get-порты
Перечислить порты, добавленные в постоянную службу.
--услуга=СЕРВИС --add-протокол=протокол
Добавьте новый протокол в постоянную службу.
--услуга=СЕРВИС --remove-протокол=протокол
Удалите протокол из постоянной службы.
--услуга=СЕРВИС --запрос-протокол=протокол
Верните, если протокол был добавлен в постоянную службу.
--услуга=СЕРВИС --get-протоколы
Список протоколов, добавленных в постоянную службу.
--услуга=СЕРВИС --добавить-модуль=модуль
Добавить новый модуль в постоянный сервис.
--услуга=СЕРВИС --удалить-модуль=модуль
Удалите модуль из постоянной службы.
--услуга=СЕРВИС --query-модуль=модуль
Верните, если модуль был добавлен в постоянную службу.
--услуга=СЕРВИС --get-модули
Список модулей, добавленных в постоянную службу.
--услуга=СЕРВИС --добавить-пункт назначения=ИПВ:адрес[/маска]
Задайте для ipv адрес назначения [/ mask] в постоянной службе.
--услуга=СЕРВИС --remove-назначение=ИПВ
Удалите место назначения для ipv из постоянной службы.
--услуга=СЕРВИС --запрос-назначение=ИПВ:адрес[/маска]
Вернуть, если IPv назначения по адресу [/ mask] был установлен в постоянном
услуги.
--услуга=СЕРВИС --get-направления
Список направлений, добавленных к постоянной услуге.
Интернет Control Сообщение протокол (ICMP) напишите Возможности
--info-icmptype =тип ICMP
Распечатать информацию об icmptype тип ICMP. Формат вывода:
тип ICMP
пункт назначения: ipv1 ..
--new-icmptype=тип ICMP
Добавьте новый постоянный icmptype.
--delete-icmptype=тип ICMP
Удалите существующий постоянный icmptype.
--icmptype=тип ICMP --добавить-пункт назначения=ИПВ
Включите назначение для ipv в постоянном типе icmp. ipv является одним из ipv4 or ipv6.
--icmptype=тип ICMP --remove-назначение=ИПВ
Отключить назначение для ipv в постоянном icmptype. ipv является одним из ipv4 or ipv6.
--icmptype=тип ICMP --запрос-назначение=ИПВ
Вернуть, включен ли пункт назначения для ipv в постоянном типе icmp. ipv является одним из
ipv4 or ipv6.
--icmptype=тип ICMP --get-направления
Перечислить направления в постоянном типе icmptype.
Напрямую Возможности
Прямые параметры обеспечивают более прямой доступ к брандмауэру. Эти параметры требуют от пользователя
знать основные концепции iptables, т.е. (см. таблицу ниже) (фильтр / кал / нат / ...), цепь
(ВХОД / ВЫХОД / ВПЕРЕД / ...), команды (-A / -D / -I / ...), параметры (-p / -s / -d / -j / ...) и
направлена против (ПРИНЯТЬ / ОТКАЗАТЬ / ОТКЛОНИТЬ / ...).
Прямые параметры следует использовать только в крайнем случае, когда их невозможно использовать для
пример --добавить сервис=СЕРВИС or --add-rich-правило='править'.
Первый аргумент каждой опции должен быть ipv4 or ipv6 or eb. С ipv4 это будет для
IPv4 (Iptables(8)), причем ipv6 для IPv6 (ip6tables(8)) и с eb для мостов Ethernet
(блюда(8 г.)).
--непосредственный - get-all-chain
Добавить все цепочки ко всем таблицам.
Эта опция касается только цепочек, ранее добавленных с --непосредственный --add-цепочка.
--непосредственный --get-цепи { ipv4 | ipv6 | eb } (см. таблицу ниже)
Добавить все цепочки в таблицу (см. таблицу ниже) как список, разделенный пробелами.
Эта опция касается только цепочек, ранее добавленных с --непосредственный --add-цепочка.
--непосредственный --add-цепочка { ipv4 | ipv6 | eb } (см. таблицу ниже) цепь
Добавить новую цепочку с именем цепь к столу (см. таблицу ниже).
Уже существуют базовые цепочки для использования с прямыми опциями, например INPUT_direct
цепь (см. iptables-сохранить | GREP направлять вывод для всех). Эти цепи
прыгнул в перед цепями для зон, т.е. каждое правило, помещенное в INPUT_direct будет
проверял перед правилами в зонах.
--непосредственный - удалить-цепь { ipv4 | ipv6 | eb } (см. таблицу ниже) цепь
Удалить цепочку с именем цепь из таблицы (см. таблицу ниже).
--непосредственный - запрос-цепочка { ipv4 | ipv6 | eb } (см. таблицу ниже) цепь
Вернуть ли цепочку с именем цепь существует в таблице (см. таблицу ниже). Возвращает 0, если истина, 1
в противном случае.
Эта опция касается только цепочек, ранее добавленных с --непосредственный --add-цепочка.
--непосредственный - получить все правила
Получить все правила, добавленные во все цепочки во всех таблицах, как список разделенных новой строкой
приоритет и аргументы.
--непосредственный --получить-правила { ipv4 | ipv6 | eb } (см. таблицу ниже) цепь
Добавить все правила в цепочку цепь в таблице (см. таблицу ниже) как список разделенных новой строкой
приоритет и аргументы.
--непосредственный --добавить-правило { ipv4 | ipv6 | eb } (см. таблицу ниже) цепь приоритет арг
Добавить правило с аргументами арг цеплять цепь в таблице (см. таблицу ниже) с приоритетом
приоритет.
Команда приоритет используется для упорядочивания правил. Приоритет 0 означает добавление правила в начало цепочки,
с более высоким приоритетом правило будет добавлено ниже. Правила с такими же
приоритеты находятся на том же уровне, и порядок этих правил не фиксирован и может
изменение. Если вы хотите, чтобы правило добавлялось после другого, используйте
низкий приоритет для первого и более высокий для следующих.
--непосредственный - удалить правило { ipv4 | ipv6 | eb } (см. таблицу ниже) цепь приоритет арг
Удалить правило с помощью приоритет и аргументы арг из цепи цепь в таблице (см. таблицу ниже).
--непосредственный --remove-правила { ipv4 | ipv6 | eb } (см. таблицу ниже) цепь
Удалить все правила в цепочке с именем цепь существует в таблице (см. таблицу ниже).
Эта опция касается только правил, ранее добавленных с --непосредственный --добавить-правило В этом
цепь.
--непосредственный --запрос-правило { ipv4 | ipv6 | eb } (см. таблицу ниже) цепь приоритет арг
Вернуть ли правило с приоритет и аргументы арг существует в цепочке цепь in
(см. таблицу ниже) (см. таблицу ниже). Возвращает 0, если истина, в противном случае - 1.
--непосредственный - get-all-passthroughs
Получить всю постоянную сквозную передачу в виде списка значений ipv, разделенных новой строкой, и
аргументы.
--непосредственный --get-переходы { ipv4 | ipv6 | eb }
Получить все постоянные правила сквозной передачи для значения ipv в виде списка, разделенного новой строкой
приоритет и аргументы.
--непосредственный --add-переход { ipv4 | ipv6 | eb } арг
Добавьте постоянное правило сквозной передачи с аргументами арг для значения ipv.
--непосредственный --remove-сквозной { ipv4 | ipv6 | eb } арг
Удалите постоянное правило сквозной передачи с аргументами арг для значения ipv.
--непосредственный --query-passthrough { ipv4 | ipv6 | eb } арг
Вернуть ли постоянное правило сквозной передачи с аргументами арг существует для IPV
ценность. Возвращает 0, если истина, в противном случае - 1.
Lockdown Возможности
Локальные приложения или службы могут изменять конфигурацию брандмауэра, если они
запущены как root (пример: libvirt) или аутентифицированы с помощью PolicyKit. С этой функцией
администраторы могут заблокировать конфигурацию брандмауэра, чтобы только заблокированные приложения
белый список может запрашивать изменения брандмауэра.
Проверка доступа с ограничением доступа ограничивает методы D-Bus, которые изменяют правила брандмауэра. Запрос,
list и get не ограничены.
Функция блокировки - это очень облегченная версия политик пользователей и приложений для
firewalld и по умолчанию отключен.
- блокировка
Включите блокировку. Будьте осторожны - если firewall-cmd не находится в белом списке блокировки, когда вы
включить блокировку, вы не сможете снова отключить ее с помощью firewall-cmd, вы бы
нужно отредактировать firewalld.conf.
--lockdown-off
Отключить блокировку.
--query-блокировка
Запросить, включена ли блокировка. Возвращает 0, если блокировка включена, 1 в противном случае.
Lockdown Рассылка Новостей Возможности
Белый список блокировки может содержать команды, контексты, пользователей и пользователь идентификаторы.
Если запись команды в белом списке заканчивается звездочкой '*', то все командные строки
начиная с команды будет соответствовать. Если '*' там нет, абсолютная команда
включающие аргументы должны совпадать.
Команды для пользователя root и других не всегда одинаковы. Пример: как root
/ бен / брандмауэр-cmd используется, как обычный пользователь / USR / bin / брандмауэр-cmd используется в Fedora.
Контекст - это контекст безопасности (SELinux) работающего приложения или службы. Получить
контекст использования запущенного приложения ps -e --контекст.
Внимание! Если контекст не ограничен, то это откроет доступ для большего, чем
желаемое приложение.
Записи в белом списке блокировки проверяются в следующем порядке:
1. контекст
2. UID
3. пользователь
4. команду
--list-lockdown-whitelist-команды
Перечислите все командные строки, которые находятся в белом списке.
--add-lockdown-whitelist-команда=команду
Добавьте команду в белый список.
--remove-lockdown-whitelist-команда=команду
Удалить команду из белого списка.
--query-lockdown-whitelist-команда=команду
Спросите, есть ли команду находится в белом списке. Возвращает 0, если истина, в противном случае - 1.
--list-lockdown-белый список-контекстов
Перечислите все контексты, которые находятся в белом списке.
--add-lockdown-whitelist-context=контекст
Добавить контекст контекст в белый список.
--remove-lockdown-whitelist-context=контекст
Удалить контекст из белого списка.
- запрос-блокировка-белый список-контекст=контекст
Спросите, есть ли контекст находится в белом списке. Возвращает 0, если истина, в противном случае - 1.
--list-lockdown-whitelist-uids
Перечислите все идентификаторы пользователей, которые находятся в белом списке.
--add-lockdown-whitelist-uid=UID
Добавьте идентификатор пользователя UID в белый список.
--remove-lockdown-whitelist-uid=UID
Удалить идентификатор пользователя UID из белого списка.
- запрос-блокировка-белый список-uid=UID
Запросить, есть ли идентификатор пользователя UID находится в белом списке. Возвращает 0, если истина, в противном случае - 1.
--list-lockdown-whitelist-users
Перечислите все имена пользователей, которые находятся в белом списке.
--add-lockdown-whitelist-пользователь=пользователь
Добавить имя пользователя пользователь в белый список.
--remove-lockdown-белый список-пользователь=пользователь
Удалить имя пользователя пользователь из белого списка.
- запрос-блокировка-белый список-пользователь=пользователь
Спросите, есть ли у пользователя пользователь находится в белом списке. Возвращает 0, если истина, в противном случае - 1.
конфиденциальности Возможности
--policy-сервер
Измените действия Polkit на 'сервер' (более ограниченный)
--policy-рабочий стол
Измените действия Polkit на «рабочий стол» (с меньшими ограничениями)
Используйте firewall-offline-cmd онлайн с помощью сервисов onworks.net
