Linux系统中的firewall-offline-cmd详解(收藏版)

2025-06-10 03:50

本文主要是介绍Linux系统中的firewall-offline-cmd详解(收藏版),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

《Linux系统中的firewall-offline-cmd详解(收藏版)》firewall-offline-cmd是firewalld的一个命令行工具,专门设计用于在没有运行firewalld服务的...

firewall-offline-cmd 是 firewalld 的一个命令行工具,专门设计用于在没有运行 firewalld 服务的环境中配置防火墙规则。这意味着它可以在系统启动之前或当 firewalld 服务不可用时进行防火墙规则的设置。这对于需要预先配置防火墙策略的场景特别有用,例如在系统安装过程中或者网络配置阶段。

主要用途

  • 离线配置:在无法运行 firewalld 的情况下(如系统未启动或处于救援模式),使用 firewall-offline-cmd 进行防火墙规则配置。
  • 初始化设置:在首次部署系统时,通过该命令预设防火墙规则,确保系统在网络中上线时就具备所需的安全策略。

基本语法

firewall-offline-cmd [选项...]

选项

1. 状态管理

选项描述示例注意事项
--enabled启用防火墙。如果未指定 --disabled,默认启用。firewall-offline-cmd --enabled--disabled 互斥。
--disabled禁用防火墙(禁用 firewalld 服务)。firewall-offline-cmd --disabled会永久禁用 firewalld
--check-config检查永久配置(默认和系统配置)的 XML 有效性及语义。firewall-offline-cmd --check-config需结合 --system-config 使用。

2. 区域管理

选项描述示例注意事项
--get-default-zone获取默认区域。firewall-offline-cmd --get-default-zone默认区域影响未指定区域的连接和接口。
--set-default-zone=zone设置默认区域。firewall-offline-cmd --set-default-zone=public修改后会影响所有使用默认区域的连接和接口。
--get-zones列出所有预定义区域。firewall-offline-cmd --get-zones输出以空格分隔的区域列表。
--info-zone=zone显示指定区域的详细信息(接口、服务、端口等)。firewarRcIXll-offline-cmd --info-zone=public输出格式包含接口、源地址、服务等信息。

3. 服务管理

选项描述示例注意事项
[--zone=zone] --add-service=service在指定区域添加服务。firewall-offline-cmd --zone=public --add-service=http服务需为 firewalld 提供的预定义服务。
[--zone=zone] --remove-service-from-zone=service从指定区域移除服务。firewall-offline-cmd --zone=public --remove-service-from-zone=http服务需已存在。
[--zone=zone] --list-services列出指定区域的所有服务。firewall-offline-cmd --zone=public --list-services输出以空格分隔的服务列表。

4. 端口管理

选项描述示例注意事项
[--zone=zone] --add-port=portid[-portid]/protocol在指定区域添加端口和协议。firewall-offline-cmd --zone=public --add-port=8080/tcp协议支持 tcpudpsctpdccp
[--zone=zone] --remove-port=portid[-portid]/protocol从指定区域移除端口和协议。firewall-offline-cmd --zone=public --remove-port=8080/tcp端口需已存在。
[--zone=zone] --list-ports列出指定区域的所有端口。firewall-offline-cmd --zone=public --list-ports输出格式为 端口/协议

5. ICMP 阻断

选项描述示例注意事项
[--zone=zone] --add-icmp-block=icmptype在指定区域添加 ICMP 阻断类型。firewall-offline-cmd --zone=public --add-icmp-block=echo-request需使用 firewall-cmd --get-icmptypes 查询支持的 ICMP 类型。
[--zone=zone] --remove-icmp-block=icmptype从指定区域移除 ICMP 阻断类型。firewall-offline-cmd --zone=public --remove-icmp-block=echo-requestICMP 类型需已存在。

6. IP 转发与 NAT

选项描述示例注意事项
[--zone=zone] --add-forward-port=port=...:proto=...:toaddr=...添加 IPv4 端口转发规则。firewall-offline-cmd --zone=public --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.100仅支持 IPv4,IPv6 需使用富语言。
[--zone=zone] --remove-forward-port=port=...:proto=...:toaddr=...移除 IPv4 端口转发规则。firewall-offline-cmd --zone=public --remove-forward-port=port=80:proto=tcp:toaddr=192.168.1.100需完全匹配规则。

7. 接口绑定

选项描述示例注意事项
[--zone=zone] --add-interface=interfaceChina编程接口绑定到指定区域。firewall-offline-cmd --zone=public --add-interface=eth0接口需存在且未绑定其他区域。
[--zone=zone] --change-interface=interface修改接口所属区域。firewall-offline-cmd --zone=public --change-interface=eth0若接口未绑定,行为等同于 --add-interface

8. 源地址绑定

选项描述示例注意事项
`[–zone=zone] --add-source=source[/mask]MACipset:ipset`将源地址绑定到指定区域。

9. IPSet 管理

选项描述示例注意事项
--new-ipset=ipset --type=type创建新的永久 IPSet。firewall-offline-cmd --new-ipset=myset --type=hash:ip需指定 IPSet 类型(如 hash:ip)。
--ipset=ipset --add-entry=entry向 IPSet 添加条目。firewall-offline-cmd --ipset=myset --add-entry=192.168.1.100条目需符合 IPSet 类型定义。

10. 日志记录

选项描述示例注意事项
--set-log-denied=value设置拒绝日志记录方式。firewall-offline-cmd --set-log-denied=allvalue 可为 allunicastbroadcastmulticastoff

11. 锁定功能

选项描述示例注意事项
--lockdown-on启用锁定模式(限制非白名单应用修改防火墙)。firewall-offline-cmd --lockdown-on启用后需通过白名单管理权限。
--add-lockdown-whitelist-command=command添加命令到白名单。firewall-offline-cmd --add-lockdown-whitelist-command=/usr/bin/firewall-cmd命令需绝对路径,结尾 * 表示通配。

12. 其他高级功能

选项描述示例注意事项
--direct --add-rule ipv4 nat POSTROUTING 0 -s 192.168.1.0/24 -j MASQUERADE添加直接的 iptables 规则。firewall-offline-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 192.168.1.0/24 -j MASQUERADE需熟悉 iptables 语法,优先使用富语言。
--new-zone-from-file=filename从文件导入自定义区域配置。firewall-offline-cmd --new-zone-from-file=/etc/firewalld/zones/custom.xml文件需符合 firewalld 区域配置格式。

示例

1. 状态管理

1.1 启用/禁用防火墙

firewall-offline-cmd --enabled
firewall-offline-cmd --disabled
  • 作用:启用或禁用防火墙(通过禁用/启用 firewalld 服务)。
  • 示例
# 启用防火墙
$ firewall-offline-cmd --enabled
# 禁用防火墙
$ firewall-offline-cmd --disabled

1.2 检查配置有效性

firewall-offline-cmd --check-config
  • 作用:检查永久配置(默认和系统配置)的 XML 有效性和语义正确性。
  • 用途:在修改配置文件后验证是否符合规范。

2. 区域管理

2.1 获取默认区域

firewall-offline-cmd --get-default-zone

作用:查看默认区域(新接口/源的绑定区域)。

2.2 设置默认区域

firewall-offline-cmd --set-default-zone=<zone>
  • 作用:将默认区域设置为 <zone>(如 public)。
  • 示例
$ firewall-offline-cmd --set-default-zone=public

2.3 列出活动区域

firewall-offline-cmd --list-all-zones
  • 作用:列出所有区域及其配置(接口、源、服务、端口等)。编程

2.4 查询接口所属区域

firewall-offline-cmd --get-zone-of-interface=<interface>
  • 作用:查看接口 <interface> 所属的区域。
  • 示例
$ firewall-offline-cmd --get-zone-of-interface=eth0public

2.5 查询源地址所属区域

firewall-offline-cmd --http://www.chinasem.cnget-zone-of-source=<source>
  • 作用:查看源地址 <source>(IP/MAC/ipset)所属的区域。
  • 示例
$ firewall-offline-cmd --get-zone-of-source=192.168.1.100home

3. 服务管理

3.1 添加服务到区域

firewall-offline-cmd [--zone=<zone>] --add-service=<service>
  • 作用:将服务 <service>(如 http)添加到指定区域(默认区域或通过 --zone 指定)。
  • 示例
$ firewall-offline-cmd --zone=public --add-service=http

3.2 移除服务

firewall-offline-cmd [--zone=<zone>] --remove-service-from-zone=<service>
  • 作用:从区域中移除服务。
  • 示例
$ firewall-offline-cmd --zone=public --remove-service-from-zone=http

3.3 查询服务是否启用

firewall-offline-cmd [--zone=<zone>] --query-service=<service>
  • 作用:检查服务是否在区域中启用。
  • 返回值0(启用)、1(未启用)。

4. 端口管理

4.1 添加端口到区域

firewall-offline-cmd [--zone=<zone>] --add-port=<portid[-portid]/protocol>
  • 作用:开放指定端口和协议(如 80/tcp)。
  • 示例
$ firewall-offline-cmd --zone=public --add-port=80/tcp

4.2 移除端口

firewall-offline-cmd [--zone=<zone>] --remove-port=<portid[-portid]/protocol>
  • 作用:关闭指定端口。
  • 示例
$ firewall-offline-cmd --zone=public --remove-port=80/tcp

4.3 列出区域端口

firewall-offline-cmd [--zone=<zone>] --list-ports

作用:查看区域中开放的端口列表。

5. 协议管理

5.1 添加协议到区域

firewall-offline-cmd [--zone=<zone>] --add-protocol=<protocol>
  • 作用:允许指定协议(如 icmp)。
  • 示例
$ firewall-offline-cmd --zone=public --add-protocol=icmp

5.2 移除协议

firewall-offline-cmd [--zone=<zone>] --remove-protocol=<protocol>

作用:禁止指定协议。

6. ICMP 类型管理

6.1 阻止 ICMP 类型

firewall-offline-cmd [--zone=<zone>] --add-icmp-block=<icmptype>
  • 作用:阻止特定 ICMP 类型(如 echo-request)。
  • 示例
$ firewall-offline-cmd --zone=public --add-icmp-block=echo-request

6.2 移除 ICMP 阻止

firewall-offline-cmd [--zone=<zone>] --remove-icmp-block=<icmptype>

7. 转发端口

7.1 添加端口转发

firewall-offline-cmd [--zone=<zone>] --add-forward-port=port=<port>:proto=<protocol>[:toport=<port>][:toaddr=<address>]
  • 作用:配置 IPv4 端口转发(NAT)。
  • 示例
$ fChina编程irewall-offline-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100

7.2 移除端口转发

firewall-offline-cmd [--zone=<zone>] --remove-forward-port=port=<port>:proto=<protocol>[:toport=<port>][:toaddr=<address>]

8. 富规则(Rich Rules)

8.1 添加富规则

firewall-offline-cmd [--zone=<zone>] --add-rich-rule='<rule>'
  • 作用:添加复杂规则(如基于源地址、端口、服务的组合规则)。
  • 示例
$ firewall-offline-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'

8.2 移除富规则

firewall-offline-cmd [--zone=<zone>] --remove-rich-rule='<rule>'

9. 永久配置

9.1 保存运行时配置

firewall-offline-cmd 默认操作的是 永久配置,无需额外保存。

9.2 永久配置选项

所有命令默认操作永久配置(如 --add-service 直接修改永久配置文件)。

10. 高级功能

10.1 IPset 管理 创建 IPset:

firewall-offline-cmd --new-ipset=<ipset> --type=<type>

添加条目

firewall-offline-cmd --ipset=<ipset> --add-entry=<entry>

10.2 直接规则(Direct Rules)

firewall-offline-cmd --direct --passthrough <ipv4|ipv6|eb> <args>
  • 作用:直接调用 iptables/ip6tables 命令。
  • 示例
$ firewall-offline-cmd --direct --passthrough ipv4 '-A INPUT -p tcp --dport 22 -j ACCEPT'

11. 锁定模式(Lockdown)

11.1 启用锁定

firewall-offline-cmd --lockdown-on

作用:限制只有白名单内的程序可修改防火墙规则。

11.2 添加白名单命令

firewall-offline-cmd --add-lockdown-whitelist-command=<command>

12. 常见错误代码

代码含义
0成功
11已启用(ALREADY_ENABLED)
12未启用(NOT_ENABLED)
252服务未运行(NOT_RUNNING)
253权限不足(NOT_AUTHORIZED)
254未知错误(UNKNOWN_ERROR)

13. 示例汇总

13.1 开放 HTTP 服务

# 添加 HTTP 服务到默认区域$ firewall-offline-cmd --add-service=http

13.2 配置端口转发

# 配置 IPv4 端口转发$ firewall-offline-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100

13.3 限制源地址访问

# 添加富规则限制源地址访问 SSH$ firewall-offline-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'

这篇关于Linux系统中的firewall-offline-cmd详解(收藏版)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1154978

相关文章

Android DataBinding 与 MVVM使用详解

《AndroidDataBinding与MVVM使用详解》本文介绍AndroidDataBinding库,其通过绑定UI组件与数据源实现自动更新,支持双向绑定和逻辑运算,减少模板代码,结合MV... 目录一、DataBinding 核心概念二、配置与基础使用1. 启用 DataBinding 2. 基础布局

Python中对FFmpeg封装开发库FFmpy详解

《Python中对FFmpeg封装开发库FFmpy详解》:本文主要介绍Python中对FFmpeg封装开发库FFmpy,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐... 目录一、FFmpy简介与安装1.1 FFmpy概述1.2 安装方法二、FFmpy核心类与方法2.1 FF

详解MySQL中DISTINCT去重的核心注意事项

《详解MySQL中DISTINCT去重的核心注意事项》为了实现查询不重复的数据,MySQL提供了DISTINCT关键字,它的主要作用就是对数据表中一个或多个字段重复的数据进行过滤,只返回其中的一条数据... 目录DISTINCT 六大注意事项1. 作用范围:所有 SELECT 字段2. NULL 值的特殊处

Mac系统下卸载JAVA和JDK的步骤

《Mac系统下卸载JAVA和JDK的步骤》JDK是Java语言的软件开发工具包,它提供了开发和运行Java应用程序所需的工具、库和资源,:本文主要介绍Mac系统下卸载JAVA和JDK的相关资料,需... 目录1. 卸载系统自带的 Java 版本检查当前 Java 版本通过命令卸载系统 Java2. 卸载自定

SQL BETWEEN 语句的基本用法详解

《SQLBETWEEN语句的基本用法详解》SQLBETWEEN语句是一个用于在SQL查询中指定查询条件的重要工具,它允许用户指定一个范围,用于筛选符合特定条件的记录,本文将详细介绍BETWEEN语... 目录概述BETWEEN 语句的基本用法BETWEEN 语句的示例示例 1:查询年龄在 20 到 30 岁

基于Linux的ffmpeg python的关键帧抽取

《基于Linux的ffmpegpython的关键帧抽取》本文主要介绍了基于Linux的ffmpegpython的关键帧抽取,实现以按帧或时间间隔抽取关键帧,文中通过示例代码介绍的非常详细,对大家的学... 目录1.FFmpeg的环境配置1) 创建一个虚拟环境envjavascript2) ffmpeg-py

CSS place-items: center解析与用法详解

《CSSplace-items:center解析与用法详解》place-items:center;是一个强大的CSS简写属性,用于同时控制网格(Grid)和弹性盒(Flexbox)... place-items: center; 是一个强大的 css 简写属性,用于同时控制 网格(Grid) 和 弹性盒(F

spring中的ImportSelector接口示例详解

《spring中的ImportSelector接口示例详解》Spring的ImportSelector接口用于动态选择配置类,实现条件化和模块化配置,关键方法selectImports根据注解信息返回... 目录一、核心作用二、关键方法三、扩展功能四、使用示例五、工作原理六、应用场景七、自定义实现Impor

一文深入详解Python的secrets模块

《一文深入详解Python的secrets模块》在构建涉及用户身份认证、权限管理、加密通信等系统时,开发者最不能忽视的一个问题就是“安全性”,Python在3.6版本中引入了专门面向安全用途的secr... 目录引言一、背景与动机:为什么需要 secrets 模块?二、secrets 模块的核心功能1. 基

一文详解MySQL如何设置自动备份任务

《一文详解MySQL如何设置自动备份任务》设置自动备份任务可以确保你的数据库定期备份,防止数据丢失,下面我们就来详细介绍一下如何使用Bash脚本和Cron任务在Linux系统上设置MySQL数据库的自... 目录1. 编写备份脚本1.1 创建并编辑备份脚本1.2 给予脚本执行权限2. 设置 Cron 任务2