firewall-cmd:rhel7中的防火墙设置的命令行工具

2018-03-01 07:49:34来源:cnblogs.com作者:kkqq8860928人点击

分享
firewall-cmd:防火墙设置的命令行工具。  语法:firewall-cmd [OPTIONS...]常见选项:-h:打印帮助信息;-V:打印版本信息;-q:退出,不用打印状态信息。状态选项:--state:检查防火墙进程是否激活有效。如果有效,返回0值;否则返回非0值。--reload:重新加载防火墙规则,并保留状态信息。当前永久配置信息将变成新的运行时配置信息。--complete-reload:完全重新加载防火墙,甚至包括netfilter kernel modules也会重新加载。当前连接也会中断,因为状态信息已经丢失。永久选项:--permanent:使配置永久生效。修改的配置信息不会立即生效,只有当服务重启、重新加载或系统重启后生效。区域选项:--get-default-zone:连接、接口的默认区域。--set-default-zone=zone:设置默认区域。--get-active-zones:获取当前激活的、有效的区域。[--permanent] --get-zones:获取预定义的区域,使用空格分隔。[--permanent] --get-services:获取预定义的服务,使用空格分隔。[--permanent] --get-icmptypes:获取所有的ICMP类型。[--permanent] --get-zone-of-interface=interface:输出指定网卡所属的区域。[--permanent] --get-zone-of-source=source[/mask]:输出指定源地址所属的区域。[--permanent] --list-all-zones:列出所有的区域。[--permanent] [--zone=zone] --list-all:罗列出所有区域。[--permanent] [--zone=zone] --list-services:罗列出所有的服务。[--permanent] [--zone=zone] --add-service=service [--timeout=seconds]:添加服务。如果设置了timeout参数,则在timeout参数内有效,时间过后则失效。[--permanent] [--zone=zone] --remove-service=service:将某服务从区域中去除。[--permanent] [--zone=zone] --query-service=service:查询该服务是否已经添加到该区域中。如果已经添加进去,则返回0;否则返回1。[--permanent] [--zone=zone] --list-ports:罗列出区域中的所有端口及协议。[--permanent] [--zone=zone] --add-port=portid[-portid]/protocol [--timeout=seconds]:在区域中添加端口及协议;如果设置了timeout参数,在该时间内有效;时间过后则失效。[--permanent] [--zone=zone] --remove-port=portid[-portid]/protocol:去除端口及协议。[--permanent] [--zone=zone] --query-port=portid[-portid]/protocol:查询某端口及协议是否在区域中。[--permanent] [--zone=zone] --list-icmp-blocks:罗列该区域中的所有ICMP类型。[--permanent] [--zone=zone] --add-icmp-block=icmptype [--timeout=seconds]:添加ICMP类型。如果指定了timeout,则在时间范围内有效;时间过后,则失效。[--permanent] [--zone=zone] --remove-icmp-block=icmptype:去掉ICMP类型。[--permanent] [--zone=zone] --query-icmp-block=icmptype:查询ICMP是否存在,如果存在则返回0,否则返回1。[--permanent] [--zone=zone] --list-forward-ports:罗列出IPv4中所有的流量转出的端口。[--permanent] [--zone=zone] --add-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]][--timeout=seconds]:增加IPv4中流量转出的端口设置。[--permanent] [--zone=zone] --remove-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]]:去掉IPv4中流量转出的端口设置。[--permanent] [--zone=zone] --query-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]]:查询流量转出的端口设置是否存在。如果存在返回0,如果不存在则返回1。[--permanent] [--zone=zone] --add-masquerade [--timeout=seconds]:增加伪装地址。[--permanent] [--zone=zone] --remove-masquerade:去掉伪装地址。[--permanent] [--zone=zone] --query-masquerade:查询伪装地址。[--permanent] [--zone=zone] --list-rich-rules:罗列出所有的富规则。[--permanent] [--zone=zone] --add-rich-rule='rule' [--timeout=seconds]:增加富规则。[--permanent] [--zone=zone] --remove-rich-rule='rule':去掉富规则。[--permanent] [--zone=zone] --query-rich-rule='rule':查询富规则。[--permanent] [--zone=zone] --list-interfaces:罗列所有的网卡。[--permanent] [--zone=zone] --add-interface=interface:增加网卡。[--zone=zone] --change-interface=interface:修改区域中的网卡。[--permanent] [--zone=zone] --query-interface=interface:查询网卡。[--permanent] [--zone=zone] --remove-interface=interface:去掉网卡。[--permanent] [--zone=zone] --list-sources:罗列所有的源[--permanent] [--zone=zone] --add-source=source[/mask]:添加源目标。[--zone=zone] --change-source=source[/mask]:修改源目标。[--permanent] [--zone=zone] --query-source=source[/mask]:查询源目标,如果存在放回0,否则返回1。[--permanent] [--zone=zone] --remove-source=source[/mask]:去掉源目标。[--permanent] --direct --get-all-chains:获取所有的链。[--permanent] --direct --get-chains { ipv4 | ipv6 | eb } table:获取数据表中的链。数据表之间使用空格分隔。[--permanent] --direct --add-chain { ipv4 | ipv6 | eb } table chain:增加一个链到数据表中。[--permanent] --direct --remove-chain { ipv4 | ipv6 | eb } table chain:从数据表去掉一个链。[--permanent] --direct --query-chain { ipv4 | ipv6 | eb } table chain:检查一个链是否在数据表中。如果在,返回0;否则返回1。[--permanent] --direct --get-all-rules:获取所有的规则。[--permanent] --direct --get-rules { ipv4 | ipv6 | eb } table chain:获取数据表中所有规则。[--permanent] --direct --add-rule { ipv4 | ipv6 | eb } table chain priority args:为数据表中的链添加规则,并定义优先权。[--permanent] --direct --remove-rule { ipv4 | ipv6 | eb } table chain priority args:去掉数据表中链的规则。[--permanent] --direct --remove-rules { ipv4 | ipv6 | eb } table chain:去掉数据表链的规则。[--permanent] --direct --query-rule { ipv4 | ipv6 | eb } table chain priority args:查询规则是否在数据表的链中。--direct --passthrough { ipv4 | ipv6 | eb } args:给防火墙传递一个命令。--permanent --direct --get-all-passthroughs:获取所有的命令。--permanent --direct --get-passthroughs { ipv4 | ipv6 | eb }:获取符合条件的命令。--permanent --direct --add-passthrough { ipv4 | ipv6 | eb } args:增加符合条件的命令。--permanent --direct --remove-passthrough { ipv4 | ipv6 | eb } args:去掉某些条件的命令。--permanent --direct --query-passthrough { ipv4 | ipv6 | eb } args:查询某些条件的命令是否存在。--lockdown-on:使锁功能可用。--lockdown-off:使锁功能不可用。-query-lockdown:查询锁功能是否可用。[--permanent] --list-lockdown-whitelist-commands:罗列出可以修改防火墙规则的主体的白名单。[--permanent] --add-lockdown-whitelist-command=command:添加可以修改防火墙规则的主体的白名单。[--permanent] --remove-lockdown-whitelist-command=command:去掉可以修改防火墙规则的主体的白名单。[--permanent] --query-lockdown-whitelist-command=command:查询白名单是否在可以修改防火墙规则的主体的白名单中。[--permanent] --list-lockdown-whitelist-contexts:罗列出所有白名单中配置了的selinuxcontenxt。[--permanent] --add-lockdown-whitelist-context=context:添加一个selinuxcontenxt。[--permanent] --remove-lockdown-whitelist-context=context:去掉一个selinuxcontenxt。[--permanent] --query-lockdown-whitelist-context=context:查询selinuxcontenxt是否存在。[--permanent] --list-lockdown-whitelist-uids:罗列白名单中的所有用户ID。[--permanent] --add-lockdown-whitelist-uid=uid:添加用户ID到白名单中。[--permanent] --remove-lockdown-whitelist-uid=uid:去掉白名单中的用户ID。[--permanent] --query-lockdown-whitelist-uid=uid:查询用户ID是否存在于白名单中。[--permanent] --list-lockdown-whitelist-users:罗列白名单中的所有用户名称。[--permanent] --add-lockdown-whitelist-user=user:添加用户名称到白名单中。[--permanent] --remove-lockdown-whitelist-user=user:去掉白名单中的用户名称。[--permanent] --query-lockdown-whitelist-user=user:查询用户名称是否存在于白名单中。--panic-on:开启应急模式。--panic-off:关闭应急模式。--query-panic:查询应急模式是否可用。

最新文章

123

最新摄影

闪念基因

微信扫一扫

第七城市微信公众平台