5.14. ダイレクトインターフェースの使用

firewall-cmd ツールで --direct オプションを使用すると、ランタイム時にチェーンの追加、削除が可能になります。ここではいくつかの例を紹介していますが、詳細は man ページの firewall-cmd(1) を参照してください。
ダイレクトインターフェースの使用は意図せずにファイアウォール侵害を引き起こす可能性があるので、iptables に精通していない場合には危険です。
ダイレクトインターフェースモードは、サービスもしくはアプリケーションが実行時に特定のファイアウォールルールを追加するためのものです。--permanent オプションを追加して firewall-cmd --permanent --direct コマンドを使用するか、/etc/firewalld/direct.xml を修正することで、ルールを永続的なものにできます。/etc/firewalld/direct.xml ファイルの詳細は、man ページ firewalld.direct(5) を参照してください。

5.14.1. ダイレクトインターフェースを使用するルールの追加

ルールを IN_public_allow チェーンに追加するには、root で以下のコマンドを実行します。
~]# firewall-cmd --direct --add-rule ipv4 filter IN_public_allow \
        0 -m tcp -p tcp --dport 666 -j ACCEPT
--permanent オプションを追加して設定を永続化します。

5.14.2. ダイレクトインターフェースを使用したルールの削除

IN_public_allow チェーンからルールを削除するには、root で以下のコマンドを実行します。
~]# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow \
        0 -m tcp -p tcp --dport 666 -j ACCEPT
--permanent オプションを追加して設定を永続化します。

5.14.3. ダイレクトインターフェースを使用したルールの一覧表示

IN_public_allow チェーンにルールの一覧を表示するには、root で以下のコマンドを実行します。
~]# firewall-cmd --direct --get-rules ipv4 filter IN_public_allow
このコマンド (--get-rules オプション) は、--add-rule オプションを使用して追加したルールのみを表示します。他の手段で追加した iptables ルールは表示されません。