ルールファミリー （ipv4 または ipv 6 のいずれか）が指定されている場合には、ルールを IPv4 または IPv6 のいずれかに制限します。ルールファミリーが指定されていない場合は、IPv4 と IPv 6 の両方に対してルールが追加されます。ソースまたは宛先アドレスがルールで使用される場合は、ルールファミリーを指定する必要があります。これは、ポート転送の場合でも当てはまります。

ソースアドレスを指定すると、接続試行元をソースアドレスに制限することができます。ソースアドレスまたはアドレス範囲は、IPv4 または IPv 6 のマスクを持つ IP アドレスまたはネットワーク IP アドレスです。IPv4 の場合、マスクはネットワークマスクまたはプレーン番号になります。IPv6 の場合、マスクはプレーン番号です。ホスト名の使用はサポートされていません。NOT キーワードを追加することで、ソースアドレスコマンドの意味を反転させることができますが、すべてのアドレスが一致します。

ルールにファミリーが指定されていない場合、MAC アドレスおよび type hash:mac を持つ IP セットは、IPv4 および IPv6 に追加できます。他の IP セットはルールのファミリー設定と一致する必要があります。

宛先アドレスを指定すると、ターゲットは宛先アドレスに制限することができます。宛先アドレスは、IP アドレスまたはアドレス範囲のソースアドレスと同じ構文を使用します。ソースアドレスおよび宛先アドレスの使用は任意で、すべての要素で宛先アドレスを使用することはできません。これは、サービスエントリーなどで宛先アドレスの使用によって異なります。宛先とアクション を組み合わせることができます。

service 要素は、firewalld が提供するサービスのいずれかになります。事前定義したサービスの一覧を取得するには、以下のコマンドを入力します。

~]$ firewall-cmd --get-services

サービスに宛先アドレスを提供すると、ルールの宛先アドレスと競合し、エラーが発生します。宛先アドレスを使用するサービスは、ほとんどの場合、マルチキャストを使用するサービスです。コマンドは以下の形式になります。

service name=service_name

port 要素は、単一のポート番号またはポート範囲（例： 5060-5062）、その後にプロトコルを tcp または udp のいずれかになります。コマンドは以下の形式になります。

port port=number_or_range protocol=protocol

protocol 値は、プロトコル ID 番号またはプロトコル名のいずれかになります。許可されたプロトコルエントリーについては 、/etc/protocols を参照してください。コマンドは以下の形式になります。

protocol value=protocol_name_or_ID

このコマンドを使用して、ICMP タイプを 1 つまたは複数ブロックします。ICMP タイプは、firewalld が対応する ICMP タイプの 1 つです。サポートされる ICMP タイプの一覧を表示するには、以下のコマンドを入力します。

~]$ firewall-cmd --get-icmptypes

アクションの指定はここでは許可されません。ICMP-block は、内部的に action reject を使用します。コマンドは以下の形式になります。

icmp-block name=icmptype_name

ルールで IP マスカレードをオンにします。ソースアドレスは、マスカレードをこの領域に制限するために指定できますが、宛先アドレスではありません。アクションの指定はここでは許可されません。

tcp または udp で指定されたローカルポートから、別のポートまたは別のマシンにパケットを転送します。ポートおよび ポートには、単一ポート番号またはポート番号のいずれかを指定できます。宛先アドレスは単純な IP アドレスです。アクションの指定はここでは許可されません。forward-port コマンドは、内部で実行するアクションを使用します。コマンドは以下の形式になります。

forward-port port=number_or_range protocol=protocol /
            to-port=number_or_range to-addr=address

パケットのソースポートと一致します。これは、接続試行の元で使用されるポートです。現在のマシンのポートと一致するには、port 要素を使用します。source-port 要素は、単一ポート番号またはポート範囲（例： 5060-5062）、その後にプロトコルを tcp または udp のいずれかになります。コマンドは以下の形式になります。

source-port port=number_or_range protocol=protocol

新しい接続では、syslog などのカーネルロギングでルールが試行されます。接頭辞としてログメッセージに追加されるプレフィックステキストを定義できます。ログレベルは、emerg、alert、 crit、 error、warning、notice、info、または debug のいずれかにすることができます。ログの使用はオプションです。ロギングを以下のように制限することができます。

log [prefix=prefix text] [level=log level] limit value=rate/duration

レートは、s、m、h、d の期間は、自然な正の数 [1、..]です。 s は秒、m は分、h は時間、d 日を意味します。最大制限値は 1/d で、1 日あたり最大のログエントリーになります。

Audit は、サービス auditd に送信された監査レコードを使用してロギングの代替方法を提供します。監査タイプは ACCEPT、REJECT、または DROP のいずれかにすることができますが、audit タイプは自動的にルールアクションから収集されるため、コマンド監査の後に指定されません。監査には独自のパラメーターはありませんが、オプションで制限を追加できます。監査の使用はオプションです。

アクションには、accept、reject、drop、または mark のいずれかになります。ルールには、要素またはソースのみを含めることができます。ルールに要素が含まれる場合、要素に一致する新しい接続はアクションで処理されます。ルールにソースが含まれている場合は、ソースアドレスからのすべてが指定されたアクションで処理されます。

accept | reject [type=reject type] | drop | mark set="mark[/mask]"

accept を使用すると、新しい接続試行がすべて許可されます。reject を使用すると拒否され、それらのソースは reject メッセージを取得します。reject タイプを別の値を使用するように設定できます。ドロップを使用すると、すべてのパケットはすぐにドロップされ、情報がソースに送信されることはありません。mark が指定されたマークとオプションのマスクで、すべてのパケットにマーク が付けられます。