Linux系统中的firewall-offline-cmd详解(收藏版)

2025-06-10 03:50

本文主要是介绍Linux系统中的firewall-offline-cmd详解(收藏版),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

《Linux系统中的firewall-offline-cmd详解(收藏版)》firewall-offline-cmd是firewalld的一个命令行工具,专门设计用于在没有运行firewalld服务的...

firewall-offline-cmd 是 firewalld 的一个命令行工具,专门设计用于在没有运行 firewalld 服务的环境中配置防火墙规则。这意味着它可以在系统启动之前或当 firewalld 服务不可用时进行防火墙规则的设置。这对于需要预先配置防火墙策略的场景特别有用,例如在系统安装过程中或者网络配置阶段。

主要用途

  • 离线配置:在无法运行 firewalld 的情况下(如系统未启动或处于救援模式),使用 firewall-offline-cmd 进行防火墙规则配置。
  • 初始化设置:在首次部署系统时,通过该命令预设防火墙规则,确保系统在网络中上线时就具备所需的安全策略。

基本语法

firewall-offline-cmd [选项...]

选项

1. 状态管理

选项描述示例注意事项
--enabled启用防火墙。如果未指定 --disabled,默认启用。firewall-offline-cmd --enabled--disabled 互斥。
--disabled禁用防火墙(禁用 firewalld 服务)。firewall-offline-cmd --disabled会永久禁用 firewalld
--check-config检查永久配置(默认和系统配置)的 XML 有效性及语义。firewall-offline-cmd --check-config需结合 --system-config 使用。

2. 区域管理

选项描述示例注意事项
--get-default-zone获取默认区域。firewall-offline-cmd --get-default-zone默认区域影响未指定区域的连接和接口。
--set-default-zone=zone设置默认区域。firewall-offline-cmd --set-default-zone=public修改后会影响所有使用默认区域的连接和接口。
--get-zones列出所有预定义区域。firewall-offline-cmd --get-zones输出以空格分隔的区域列表。
--info-zone=zone显示指定区域的详细信息(接口、服务、端口等)。firewarRcIXll-offline-cmd --info-zone=public输出格式包含接口、源地址、服务等信息。

3. 服务管理

选项描述示例注意事项
[--zone=zone] --add-service=service在指定区域添加服务。firewall-offline-cmd --zone=public --add-service=http服务需为 firewalld 提供的预定义服务。
[--zone=zone] --remove-service-from-zone=service从指定区域移除服务。firewall-offline-cmd --zone=public --remove-service-from-zone=http服务需已存在。
[--zone=zone] --list-services列出指定区域的所有服务。firewall-offline-cmd --zone=public --list-services输出以空格分隔的服务列表。

4. 端口管理

选项描述示例注意事项
[--zone=zone] --add-port=portid[-portid]/protocol在指定区域添加端口和协议。firewall-offline-cmd --zone=public --add-port=8080/tcp协议支持 tcpudpsctpdccp
[--zone=zone] --remove-port=portid[-portid]/protocol从指定区域移除端口和协议。firewall-offline-cmd --zone=public --remove-port=8080/tcp端口需已存在。
[--zone=zone] --list-ports列出指定区域的所有端口。firewall-offline-cmd --zone=public --list-ports输出格式为 端口/协议

5. ICMP 阻断

选项描述示例注意事项
[--zone=zone] --add-icmp-block=icmptype在指定区域添加 ICMP 阻断类型。firewall-offline-cmd --zone=public --add-icmp-block=echo-request需使用 firewall-cmd --get-icmptypes 查询支持的 ICMP 类型。
[--zone=zone] --remove-icmp-block=icmptype从指定区域移除 ICMP 阻断类型。firewall-offline-cmd --zone=public --remove-icmp-block=echo-requestICMP 类型需已存在。

6. IP 转发与 NAT

选项描述示例注意事项
[--zone=zone] --add-forward-port=port=...:proto=...:toaddr=...添加 IPv4 端口转发规则。firewall-offline-cmd --zone=public --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.100仅支持 IPv4,IPv6 需使用富语言。
[--zone=zone] --remove-forward-port=port=...:proto=...:toaddr=...移除 IPv4 端口转发规则。firewall-offline-cmd --zone=public --remove-forward-port=port=80:proto=tcp:toaddr=192.168.1.100需完全匹配规则。

7. 接口绑定

选项描述示例注意事项
[--zone=zone] --add-interface=interfaceChina编程接口绑定到指定区域。firewall-offline-cmd --zone=public --add-interface=eth0接口需存在且未绑定其他区域。
[--zone=zone] --change-interface=interface修改接口所属区域。firewall-offline-cmd --zone=public --change-interface=eth0若接口未绑定,行为等同于 --add-interface

8. 源地址绑定

选项描述示例注意事项
`[–zone=zone] --add-source=source[/mask]MACipset:ipset`将源地址绑定到指定区域。

9. IPSet 管理

选项描述示例注意事项
--new-ipset=ipset --type=type创建新的永久 IPSet。firewall-offline-cmd --new-ipset=myset --type=hash:ip需指定 IPSet 类型(如 hash:ip)。
--ipset=ipset --add-entry=entry向 IPSet 添加条目。firewall-offline-cmd --ipset=myset --add-entry=192.168.1.100条目需符合 IPSet 类型定义。

10. 日志记录

选项描述示例注意事项
--set-log-denied=value设置拒绝日志记录方式。firewall-offline-cmd --set-log-denied=allvalue 可为 allunicastbroadcastmulticastoff

11. 锁定功能

选项描述示例注意事项
--lockdown-on启用锁定模式(限制非白名单应用修改防火墙)。firewall-offline-cmd --lockdown-on启用后需通过白名单管理权限。
--add-lockdown-whitelist-command=command添加命令到白名单。firewall-offline-cmd --add-lockdown-whitelist-command=/usr/bin/firewall-cmd命令需绝对路径,结尾 * 表示通配。

12. 其他高级功能

选项描述示例注意事项
--direct --add-rule ipv4 nat POSTROUTING 0 -s 192.168.1.0/24 -j MASQUERADE添加直接的 iptables 规则。firewall-offline-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 192.168.1.0/24 -j MASQUERADE需熟悉 iptables 语法,优先使用富语言。
--new-zone-from-file=filename从文件导入自定义区域配置。firewall-offline-cmd --new-zone-from-file=/etc/firewalld/zones/custom.xml文件需符合 firewalld 区域配置格式。

示例

1. 状态管理

1.1 启用/禁用防火墙

firewall-offline-cmd --enabled
firewall-offline-cmd --disabled
  • 作用:启用或禁用防火墙(通过禁用/启用 firewalld 服务)。
  • 示例
# 启用防火墙
$ firewall-offline-cmd --enabled
# 禁用防火墙
$ firewall-offline-cmd --disabled

1.2 检查配置有效性

firewall-offline-cmd --check-config
  • 作用:检查永久配置(默认和系统配置)的 XML 有效性和语义正确性。
  • 用途:在修改配置文件后验证是否符合规范。

2. 区域管理

2.1 获取默认区域

firewall-offline-cmd --get-default-zone

作用:查看默认区域(新接口/源的绑定区域)。

2.2 设置默认区域

firewall-offline-cmd --set-default-zone=<zone>
  • 作用:将默认区域设置为 <zone>(如 public)。
  • 示例
$ firewall-offline-cmd --set-default-zone=public

2.3 列出活动区域

firewall-offline-cmd --list-all-zones
  • 作用:列出所有区域及其配置(接口、源、服务、端口等)。编程

2.4 查询接口所属区域

firewall-offline-cmd --get-zone-of-interface=<interface>
  • 作用:查看接口 <interface> 所属的区域。
  • 示例
$ firewall-offline-cmd --get-zone-of-interface=eth0public

2.5 查询源地址所属区域

firewall-offline-cmd --http://www.chinasem.cnget-zone-of-source=<source>
  • 作用:查看源地址 <source>(IP/MAC/ipset)所属的区域。
  • 示例
$ firewall-offline-cmd --get-zone-of-source=192.168.1.100home

3. 服务管理

3.1 添加服务到区域

firewall-offline-cmd [--zone=<zone>] --add-service=<service>
  • 作用:将服务 <service>(如 http)添加到指定区域(默认区域或通过 --zone 指定)。
  • 示例
$ firewall-offline-cmd --zone=public --add-service=http

3.2 移除服务

firewall-offline-cmd [--zone=<zone>] --remove-service-from-zone=<service>
  • 作用:从区域中移除服务。
  • 示例
$ firewall-offline-cmd --zone=public --remove-service-from-zone=http

3.3 查询服务是否启用

firewall-offline-cmd [--zone=<zone>] --query-service=<service>
  • 作用:检查服务是否在区域中启用。
  • 返回值0(启用)、1(未启用)。

4. 端口管理

4.1 添加端口到区域

firewall-offline-cmd [--zone=<zone>] --add-port=<portid[-portid]/protocol>
  • 作用:开放指定端口和协议(如 80/tcp)。
  • 示例
$ firewall-offline-cmd --zone=public --add-port=80/tcp

4.2 移除端口

firewall-offline-cmd [--zone=<zone>] --remove-port=<portid[-portid]/protocol>
  • 作用:关闭指定端口。
  • 示例
$ firewall-offline-cmd --zone=public --remove-port=80/tcp

4.3 列出区域端口

firewall-offline-cmd [--zone=<zone>] --list-ports

作用:查看区域中开放的端口列表。

5. 协议管理

5.1 添加协议到区域

firewall-offline-cmd [--zone=<zone>] --add-protocol=<protocol>
  • 作用:允许指定协议(如 icmp)。
  • 示例
$ firewall-offline-cmd --zone=public --add-protocol=icmp

5.2 移除协议

firewall-offline-cmd [--zone=<zone>] --remove-protocol=<protocol>

作用:禁止指定协议。

6. ICMP 类型管理

6.1 阻止 ICMP 类型

firewall-offline-cmd [--zone=<zone>] --add-icmp-block=<icmptype>
  • 作用:阻止特定 ICMP 类型(如 echo-request)。
  • 示例
$ firewall-offline-cmd --zone=public --add-icmp-block=echo-request

6.2 移除 ICMP 阻止

firewall-offline-cmd [--zone=<zone>] --remove-icmp-block=<icmptype>

7. 转发端口

7.1 添加端口转发

firewall-offline-cmd [--zone=<zone>] --add-forward-port=port=<port>:proto=<protocol>[:toport=<port>][:toaddr=<address>]
  • 作用:配置 IPv4 端口转发(NAT)。
  • 示例
$ fChina编程irewall-offline-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100

7.2 移除端口转发

firewall-offline-cmd [--zone=<zone>] --remove-forward-port=port=<port>:proto=<protocol>[:toport=<port>][:toaddr=<address>]

8. 富规则(Rich Rules)

8.1 添加富规则

firewall-offline-cmd [--zone=<zone>] --add-rich-rule='<rule>'
  • 作用:添加复杂规则(如基于源地址、端口、服务的组合规则)。
  • 示例
$ firewall-offline-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'

8.2 移除富规则

firewall-offline-cmd [--zone=<zone>] --remove-rich-rule='<rule>'

9. 永久配置

9.1 保存运行时配置

firewall-offline-cmd 默认操作的是 永久配置,无需额外保存。

9.2 永久配置选项

所有命令默认操作永久配置(如 --add-service 直接修改永久配置文件)。

10. 高级功能

10.1 IPset 管理 创建 IPset:

firewall-offline-cmd --new-ipset=<ipset> --type=<type>

添加条目

firewall-offline-cmd --ipset=<ipset> --add-entry=<entry>

10.2 直接规则(Direct Rules)

firewall-offline-cmd --direct --passthrough <ipv4|ipv6|eb> <args>
  • 作用:直接调用 iptables/ip6tables 命令。
  • 示例
$ firewall-offline-cmd --direct --passthrough ipv4 '-A INPUT -p tcp --dport 22 -j ACCEPT'

11. 锁定模式(Lockdown)

11.1 启用锁定

firewall-offline-cmd --lockdown-on

作用:限制只有白名单内的程序可修改防火墙规则。

11.2 添加白名单命令

firewall-offline-cmd --add-lockdown-whitelist-command=<command>

12. 常见错误代码

代码含义
0成功
11已启用(ALREADY_ENABLED)
12未启用(NOT_ENABLED)
252服务未运行(NOT_RUNNING)
253权限不足(NOT_AUTHORIZED)
254未知错误(UNKNOWN_ERROR)

13. 示例汇总

13.1 开放 HTTP 服务

# 添加 HTTP 服务到默认区域$ firewall-offline-cmd --add-service=http

13.2 配置端口转发

# 配置 IPv4 端口转发$ firewall-offline-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100

13.3 限制源地址访问

# 添加富规则限制源地址访问 SSH$ firewall-offline-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'

这篇关于Linux系统中的firewall-offline-cmd详解(收藏版)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1154978

相关文章

PyTorch中的词嵌入层(nn.Embedding)详解与实战应用示例

《PyTorch中的词嵌入层(nn.Embedding)详解与实战应用示例》词嵌入解决NLP维度灾难,捕捉语义关系,PyTorch的nn.Embedding模块提供灵活实现,支持参数配置、预训练及变长... 目录一、词嵌入(Word Embedding)简介为什么需要词嵌入?二、PyTorch中的nn.Em

Python Web框架Flask、Streamlit、FastAPI示例详解

《PythonWeb框架Flask、Streamlit、FastAPI示例详解》本文对比分析了Flask、Streamlit和FastAPI三大PythonWeb框架:Flask轻量灵活适合传统应用... 目录概述Flask详解Flask简介安装和基础配置核心概念路由和视图模板系统数据库集成实际示例Stre

Spring Bean初始化及@PostConstruc执行顺序示例详解

《SpringBean初始化及@PostConstruc执行顺序示例详解》本文给大家介绍SpringBean初始化及@PostConstruc执行顺序,本文通过实例代码给大家介绍的非常详细,对大家的... 目录1. Bean初始化执行顺序2. 成员变量初始化顺序2.1 普通Java类(非Spring环境)(

Java Spring的依赖注入理解及@Autowired用法示例详解

《JavaSpring的依赖注入理解及@Autowired用法示例详解》文章介绍了Spring依赖注入(DI)的概念、三种实现方式(构造器、Setter、字段注入),区分了@Autowired(注入... 目录一、什么是依赖注入(DI)?1. 定义2. 举个例子二、依赖注入的几种方式1. 构造器注入(Con

SpringBoot 异常处理/自定义格式校验的问题实例详解

《SpringBoot异常处理/自定义格式校验的问题实例详解》文章探讨SpringBoot中自定义注解校验问题,区分参数级与类级约束触发的异常类型,建议通过@RestControllerAdvice... 目录1. 问题简要描述2. 异常触发1) 参数级别约束2) 类级别约束3. 异常处理1) 字段级别约束

mybatis中resultMap的association及collectio的使用详解

《mybatis中resultMap的association及collectio的使用详解》MyBatis的resultMap定义数据库结果到Java对象的映射规则,包含id、type等属性,子元素需... 目录1.reusltmap的说明2.association的使用3.collection的使用4.总

详解MySQL中JSON数据类型用法及与传统JSON字符串对比

《详解MySQL中JSON数据类型用法及与传统JSON字符串对比》MySQL从5.7版本开始引入了JSON数据类型,专门用于存储JSON格式的数据,本文将为大家简单介绍一下MySQL中JSON数据类型... 目录前言基本用法jsON数据类型 vs 传统JSON字符串1. 存储方式2. 查询方式对比3. 索引

Apache Ignite缓存基本操作实例详解

《ApacheIgnite缓存基本操作实例详解》文章介绍了ApacheIgnite中IgniteCache的基本操作,涵盖缓存获取、动态创建、销毁、原子及条件更新、异步执行,强调线程池注意事项,避免... 目录一、获取缓存实例(Getting an Instance of a Cache)示例代码:二、动态

Linux之platform平台设备驱动详解

《Linux之platform平台设备驱动详解》Linux设备驱动模型中,Platform总线作为虚拟总线统一管理无物理总线依赖的嵌入式设备,通过platform_driver和platform_de... 目录platform驱动注册platform设备注册设备树Platform驱动和设备的关系总结在 l

Olingo分析和实践之EDM 辅助序列化器详解(最佳实践)

《Olingo分析和实践之EDM辅助序列化器详解(最佳实践)》EDM辅助序列化器是ApacheOlingoOData框架中无需完整EDM模型的智能序列化工具,通过运行时类型推断实现灵活数据转换,适用... 目录概念与定义什么是 EDM 辅助序列化器?核心概念设计目标核心特点1. EDM 信息可选2. 智能类