# Некоторые команды и пояснения ## Роль ansible для FirewallD Здесь: {doc}`/ansible/playbooks/firewalld/index` ## Проверка статуса ### Краткие пояснения Все элементы `sf-` --- "наши", кастомные для Фабрики Сайтов, их смотрим в `/etc/firewalld/{ipsets,services,zones}`. Есть консольные команды, но я их не помню, мне проще посмотреть файлы. Элементы без `sf-` в названии --- стандартные, их файлы в `/usr/lib/firewalld/`, например: `cat /usr/lib/firewalld/services/mysql.xml` ### Список используемых зон ```bash sudo firewall-cmd --get-active-zones sf-drop interfaces: ens192 sf-ssh sources: ipset:sf-allow-ssh-ips ipset:sf-allow-ssh-nets sf-zabbix sources: ipset:sf-zabbix-server-ips ``` ### Информация об одной из зон ```bash sudo firewall-cmd --list-all --zone sf-zabbix sf-zabbix (active) target: DROP icmp-block-inversion: no interfaces: sources: ipset:sf-zabbix-server-ips services: sf-zabbix-agent ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: ``` ```{index} ipset ``` ### Информация о списке IP адресов (ipset) Используя `firewall-cmd`: ```bash sudo firewall-cmd --info-ipset sf-zabbix-server-ips sf-zabbix-server-ips type: hash:ip options: entries: 10.4.255.138 ``` Используя `ipset`: ```bash sudo ipset list sf-zabbix-server-ips Name: sf-zabbix-server-ips Type: hash:ip Revision: 4 Header: family inet hashsize 1024 maxelem 65536 Size in memory: 168 References: 0 Number of entries: 1 Members: 10.4.255.138 ``` ```{index} nft ``` ### nft list ruleset Ещё полезно: ```bash sudo nft list ruleset ``` Тут **все** правила `nftables`, не только от FirewallD, но и, например, от докера. ```{index} docker ``` (nft_docker_chains)= ## Проверка наличия таблиц докера ```bash sudo nft list chain ip filter DOCKER table ip filter { chain DOCKER { iifname != "docker_gwbridge" oifname "docker_gwbridge" meta l4proto tcp ip daddr 172.18.0.3 tcp dport 9001 counter packets 0 bytes 0 accept } } ``` ```bash sudo nft list chains | grep DOCKER chain DOCKER { chain DOCKER-ISOLATION-STAGE-1 { chain DOCKER-ISOLATION-STAGE-2 { chain DOCKER-USER { chain DOCKER-INGRESS { chain DOCKER { chain DOCKER-INGRESS { ```