Usar políticas e regras globais de firewall de rede

Nesta página, consideramos que você esteja familiarizado com os conceitos descritos na Visão geral das políticas de firewall de rede.

Tarefas de política de firewall

Criar uma política de firewall de rede global

É possível criar uma política para qualquer rede de nuvem privada virtual (VPC) no seu projeto. Depois de criar uma política, é possível associá-la a qualquer rede VPC no projeto. Depois que a política é associada a uma rede VPC, as regras dela ficam ativas para instâncias de máquina virtual (VMs) na rede associada.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. Na lista do seletor de projetos, selecione seu projeto na organização.

  3. Clique em Criar política de firewall.

  4. No campo Nome da política, insira um nome para a política.

  5. Em Escopo da implantação, selecione Global.

  6. Para criar regras para sua política, clique em Continuar.

  7. Na seção Adicionar regras, clique em Criar regra de firewall.

    Para mais informações, consulte Criar regras de firewall de rede global.

  8. Se quiser associar a política a uma rede, clique em Continuar.

  9. Na seção Associar política a redes, clique em Associar.

    Para mais informações, consulte Associar uma política à rede.

  10. Clique em Criar.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Substitua:

  • NETWORK_FIREWALL_POLICY_NAME: um nome para a política.
  • DESCRIPTION: uma descrição da política.

Associar uma política à rede

Associe uma política a uma rede para ativar as regras da política para qualquer VM nessa rede.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na guia Associações.

  5. Clique em Adicionar associação.

  6. Selecione as redes no projeto.

  7. Clique em Associar.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Substitua:

  • POLICY_NAME: o nome curto ou o nome gerado pelo sistema da política.
  • NETWORK_NAME: o nome da rede.
  • ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido como network-NETWORK_NAME.

Descrever uma política de firewall de rede global

É possível ver todos os detalhes de uma política, incluindo todas as regras de firewall. Além disso, você pode ver muitos atributos em todas as regras da política. Esses atributos contam para o limite por organização.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.

  3. Clique na sua política.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Atualizar uma descrição da política de firewall de rede

O único campo de política que pode ser atualizado é Descrição.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.

  3. Clique na sua política.

  4. Clique em Editar.

  5. No campo Descrição, mude o texto.

  6. Clique em Salvar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Listar políticas globais de firewall de rede

É possível ver uma lista das políticas disponíveis no seu projeto.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

    A seção Políticas de firewall de rede mostra as políticas disponíveis no projeto.

gcloud

gcloud compute network-firewall-policies list --global

Excluir uma política de firewall de rede global

Você precisa excluir todas as associações em uma política de firewall de rede antes de excluí-la.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política que você quer excluir.

  4. Clique na guia Associações.

  5. Selecione todas as associações.

  6. Clique em Remover associação.

  7. Depois que todas as associações forem removidas, clique em Excluir.

gcloud

  1. Liste todas as redes associadas a uma política de firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

  2. Exclua associações individuais. Para remover a associação, é necessário ter o papel compute.SecurityAdmin na política de firewall de rede global e o papel compute.networkAdmin na rede VPC associada.

    gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

  3. Exclua a política:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Excluir uma associação

Para interromper a aplicação de uma política de firewall em uma rede, exclua a associação.

No entanto, se você pretende substituir uma política de firewall por outra, não é necessário excluir a associação atual primeiro. A exclusão dessa associação deixaria um período em que nenhuma política é aplicada. Em vez disso, substitua a política existente ao associar uma nova política.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione seu projeto ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique na guia Associações.

  5. Selecione a associação que você quer excluir.

  6. Clique em Remover associação.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Tarefas de regras de política de firewall

Criar regras globais de firewall de rede

As regras de política de firewall de rede global precisam ser criadas em uma política de firewall de rede global. As regras não estarão ativas até que você associe a política que as contém a uma rede VPC.

Cada regra de política de firewall de rede pode incluir intervalos IPv4 ou IPv6, mas não ambos.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique no nome da política global.

  4. Na guia Regras de firewall, clique em Criar regra de firewall.

  5. Preencha os campos de regras:

    1. No campo Prioridade, defina o número do pedido da regra, em que 0 é a prioridade mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como 100, 200, 300).
    2. Em Direção do tráfego, escolha entrada ou saída.
    3. Em Ação se houver correspondência, escolha uma das seguintes opções:
      1. Permitir: permite as conexões que correspondem à regra.
      2. Negar: nega as conexões que correspondem à regra.
      3. Ir para a próxima: transmite a avaliação da conexão para a próxima regra de firewall inferior na hierarquia.
      4. Aplicar grupo de perfis de segurança: envia os pacotes ao endpoint de firewall configurado para inspeção e prevenção da camada 7.
        • Na lista Grupo de perfis de segurança, selecione o nome de um grupo de perfis de segurança.
        • Para ativar a inspeção da TLS dos pacotes, selecione Ativar inspeção da TLS.
    4. Defina a coleção Registros como Ativado ou Desativado.

    5. Especifique o destino da regra. Escolha uma das seguintes opções para o campo Destino:

      • Se você quiser que a regra se aplique a todas as instâncias na rede, escolha Aplicar a todas.
      • Se você quiser que a regra se aplique a determinadas instâncias por conta de serviço associada, primeiro escolha Contas de serviço. Em seguida, em Escopo da conta de serviço, indique se a conta está no projeto atual ou em outro. No campo Conta de serviço de destino, escolha ou digite o nome da conta.

      • Se você quiser que a regra se aplique a determinadas instâncias por tags seguras, escolha Tags seguras.

        • Clique em Selecionar escopo para tags e escolha a organização ou o projeto em que você quer criar tags seguras. Insira os pares de chave-valor aos quais a regra será aplicada.
        • Para adicionar mais pares de chave-valor, clique em Adicionar tag.

    6. Para uma regra de entrada, especifique o filtro de origem:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6.

      • Para limitar a origem por tags seguras, na seção Tags seguras, clique em Selecionar escopo das tags.

        • Selecione a organização ou o projeto para o qual você quer criar tags. Insira os pares de chave-valor a que a regra será aplicada.
        • Para adicionar mais pares de chave-valor, clique em Adicionar tag.

    7. Para uma regra de saída, especifique o filtro de destino:

      • Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer destino IPv6.

    8. Opcional: se você estiver criando uma regra de entrada, especifique os FQDNs de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os FQDNs de destino a que essa regra se aplica. Para mais informações sobre objetos de nome de domínio, consulte Objetos FQDN.

    9. Opcional: se você estiver criando uma regra de entrada, selecione as geolocalizações de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as geolocalizações de destino a que essa regra se aplica. Para mais informações sobre objetos de geolocalização, consulte Objetos de geolocalização.

    10. Opcional: se você estiver criando uma regra de entrada, selecione os grupos de endereços de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os grupos de endereços de destino a que essa regra se aplica. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

    11. Opcional: se você estiver criando uma regra de entrada, selecione as listas de origem do Google Cloud Threat Intelligence a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as listas de destino do Google Cloud Threat Intelligence a que essa regra se aplica. Para mais informações sobre o Google Threat Intelligence, consulte Google Threat Intelligence para regras de política de firewall.

    12. Opcional: para uma regra de entrada, especifique os filtros de destino:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione Intervalos IPv6 e insira os blocos CIDR no campo Intervalos IPv6 de destino. Use ::/0 para qualquer destino IPv6. Para mais informações, consulte Destinos das regras de entrada.

    13. Opcional: para uma regra de saída, especifique o filtro de origem:

      • Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6. Para mais informações, consulte Origens das regras de saída.

    14. Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino a regra se aplica.

    15. Clique em Criar.

  6. Clique em Criar regra de firewall para adicionar outra regra.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

Substitua:

  • PRIORITY: a ordem de avaliação numérica da regra.

    As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como 100, 200, 300).

  • ACTION: uma das seguintes ações:

    • allow: permite conexões que correspondem à regra
    • deny: nega conexões que correspondem à regra
    • apply_security_profile_group: envia os pacotes de maneira transparente para o endpoint de firewall configurado para a inspeção da camada 7.
    • goto_next: transmite a avaliação da conexão para o próximo nível da hierarquia, seja uma pasta ou a rede

  • POLICY_NAME: o nome da política de firewall de rede global

  • SECURITY_PROFILE_GROUP: o nome de um grupo de perfis de segurança usado para a inspeção da camada 7. Especifique esse argumento somente quando a ação apply_security_profile_group for selecionada.

  • --tls-inspect: inspeciona o tráfego da TLS usando a política de inspeção da TLS quando a ação apply_security_profile_group for selecionada na regra. Por padrão, a inspeção da TLS está desativada. Como opção, você pode especificar --no-tls-inspect

  • TARGET_SECURE_TAG: uma lista separada por vírgulas de tags seguras para definir destinos

  • SERVICE_ACCOUNT: uma lista separada por vírgulas de contas de serviço para definir metas

  • DIRECTION: indica se a regra é INGRESS ou EGRESS. O padrão é INGRESS

    • Inclua --src-ip-ranges para especificar intervalos de endereços IP para a origem do tráfego.
    • Inclua --dest-ip-ranges para especificar intervalos de endereços IP para o destino do tráfego.

    Para mais informações, consulte metas, origens e destinos.

  • SRC_NETWORK_TYPE: indica o tipo de tráfego de rede de origem a que a regra de entrada é aplicada. É possível definir esse argumento como um dos seguintes valores:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Para limpar o valor desse argumento, use uma string vazia. Um valor vazio indica todos os tipos de rede. Para mais informações, consulte Tipos de rede.

  • SRC_VPC_NETWORK: uma lista de redes VPC separadas por vírgula

    Você só pode usar --src-networks quando --src-network-type está definido como VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica o tipo de tráfego de rede de destino a que a regra de saída é aplicada. É possível definir esse argumento como um dos seguintes valores:

    • INTERNET
    • NON_INTERNET

    Para limpar o valor desse argumento, use uma string vazia. Um valor vazio indica todos os tipos de rede. Para mais informações, consulte Tipos de rede.

  • IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP formatados por CIDR, todos os intervalos de endereços IPv4 ou todos os intervalos de endereços IPv6. Por exemplo:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: uma lista de tags separadas por vírgulas.

    Não é possível usar tags de origem seguras se o tipo de rede estiver definido como INTERNET.

  • COUNTRY_CODE: uma lista separada por vírgulas de códigos de países com duas letras.

    • Para a direção de entrada, especifique os códigos de país na flag --src-region-code. Não é possível usar a flag --src-region-code para a direção de saída ou quando --src-network-type está definido como NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • Para a direção de saída, os códigos de países são especificados na flag --dest-region-code. Não é possível usar a flag --dest-region-code para a direção de entrada

  • LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence

    • Para a direção de entrada, especifique as listas de origem do Google Threat Intelligence na flag --src-threat-intelligence. Não é possível usar a flag --src-threat-intelligence para a direção de saída ou quando --src-network-type está definido como NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • Para a direção de saída, especifique as listas de destino do Google Threat Intelligence na flag --dest-threat-intelligence. Não é possível usar a flag --dest-threat-intelligence para a direção de entrada

  • ADDR_GRP_URL: um identificador exclusivo de URL para o grupo de endereços

    • Para a direção de entrada, especifique os grupos de endereços de origem na flag --src-address-groups. Não é possível usar a flag --src-address-groups para a direção de saída
    • Para a direção de saída, especifique os grupos de endereços de destino na flag --dest-address-groups. Não é possível usar a flag --dest-address-groups na direção de entrada

  • DOMAIN_NAME: uma lista separada por vírgulas de nomes de domínio no formato descrito em Formato do nome de domínio.

    • Para a direção de entrada, especifique os nomes de domínio de origem na flag --src-fqdns. Não é possível usar a flag --src-fqdns para a direção de saída
    • Para a direção de saída, especifique os grupos de endereços de destino na flag --dest-fqdns. Não é possível usar a flag --dest-fqdns na direção de entrada

  • PROTOCOL_PORT: uma lista separada por vírgulas de nomes ou números de protocolo (tcp,17), protocolos e portas de destino (tcp:80) ou protocolos e intervalos de portas de destino (tcp:5000-6000)

    Não é possível especificar uma porta ou um intervalo de portas sem um protocolo. Para ICMP, não é possível especificar uma porta ou intervalo de portas. Por exemplo: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Para mais informações, consulte Protocolos e portas.

  • --enable-logging e --no-enable-logging: ativam ou desativam a geração de registros de regras de firewall para a regra especificada

  • --disabled: indica que a regra de firewall, embora ela exista, não deve ser considerada ao processar conexões. Remover essa flag ativa a regra. Também é possível especificar --no-disabled.

Atualizar uma regra

Para descrições de campos, consulte Criar regras de firewall de rede global.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

  5. Clique em Editar.

  6. Modifique os campos que você quer alterar.

  7. Clique em Salvar.

gcloud 

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Descrever uma regra

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Substitua:

  • PRIORITY: a prioridade da regra que você quer visualizar. Como cada regra precisa ter uma prioridade única, essa configuração identifica exclusivamente uma regra
  • POLICY_NAME: o nome da política que contém a regra

Excluir uma regra de uma política

A exclusão de uma regra de uma política remove a regra de todas as VMs que herdam a regra.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Selecione a regra que você quer excluir.

  5. Clique em Excluir.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Substitua:

  • PRIORITY: a prioridade da regra que você quer excluir da política
  • POLICY_NAME: a política que contém a regra

Clonar regras de uma política para outra

Remova todas as regras da política de destino e as substitua pelas regras da política de origem.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política da qual você quer copiar as regras.

  4. Clique em Clonar na parte superior da tela.

  5. Informe o nome de uma política de destino.

  6. Se você quiser associar a nova política imediatamente, clique em Continuar > Associar.

  7. Na página Associar política a redes VPC, selecione as redes e clique em Associar.

  8. Clique em Continuar.

  9. Clique em Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Substitua:

  • POLICY_NAME: a política de destino em que você quer substituir as regras pelas regras clonadas.
  • SOURCE_POLICY: o URL do recurso para a política de origem da qual as regras serão clonadas.

Receber regras de firewall eficazes para uma rede

É possível ver todas as regras de política de firewall hierárquica, de VPC e de rede aplicadas a uma rede VPC especificada.

Console

  1. No console do Google Cloud , acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na rede para ver as regras de política de firewall.

  3. Na página Detalhes da rede VPC, clique na guia Firewalls.

  4. Para ver as regras que se aplicam a essa rede, clique na guia Visualização de regras de firewall.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Substitua:

  • NETWORK_NAME: a rede para a qual você quer visualizar as regras vigentes.

Também é possível ver as regras de firewall em vigor para uma rede na página Firewall.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. As políticas de firewall são listadas na seção Políticas de firewall herdadas por este projeto.

  3. Clique em cada política de firewall para ver as regras que se aplicam a esta rede.

Receber regras de firewall em vigor para uma interface de VM

É possível visualizar todas as regras de política de firewall hierárquica, de VPC e da rede aplicadas a uma interface de VM especificada do Compute Engine.

Console

  1. No console do Google Cloud , acesse a página Instâncias de VM.

    Acessar instâncias de VM

  2. No menu do seletor de projetos, selecione o projeto que contém a VM.

  3. Clique na VM.

  4. Em Interfaces de rede, clique no nome da interface.

  5. Na seção Análise da configuração de rede, clique na guia Firewalls.

  6. Para ver as regras de firewall efetivas, clique na guia Visualização de regras de firewall.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Substitua:

  • INSTANCE_NAME: a VM que tem as regras efetivas que você quer ver. Se nenhuma interface for especificada, o comando retornará regras para a interface principal (nic0).
  • INTERFACE: a interface de VM cujas regras vigentes você quer visualizar. O valor padrão é nic0.
  • ZONE: a zona da VM. Essa linha é opcional quando a zona selecionada já está definida como padrão.