2.6.4. IPTables Kontrollskripte
In Red Hat Enterprise Linux gibt es zwei grundlegende Methoden zur Steuerung von
iptables:
- Firewall-Konfigurationstool (
system-config-selinux) — Eine grafische Benutzeroberfläche zum Erstellen, Aktivieren und Speichern von einfachen Firewall-Regeln. Weitere Informationen über die Verwendung dieses Tools finden Sie unter Abschnitt 2.5.2, »Grundlegende Firewall-Konfiguration«. /sbin/service iptables <option>— Wird verwendet, um verschiedene Funktionen voniptableszu handhaben, unter Verwendung des init-Skripts von IPTables. Die folgenden Optionen stehen zur Verfügung:start— Ist eine Firewall konfiguriert (d. h./etc/sysconfig/iptablesist vorhanden), werden alle laufendeniptableskomplett beendet und dann mit dem Befehl/sbin/iptables-restoregestartet. Diese Option funktioniert nur dann, wenn dasipchainsKernel-Modul nicht geladen ist. Um zu überprüfen, ob dieses Modul geladen ist, führen Sie als Root folgenden Befehl aus:[root@MyServer ~]# lsmod | grep ipchainsWenn dieser Befehl keine Ausgabe zurückgibt, ist das Modul nicht geladen. Falls nötig, können Sie das Modul mit dem Befehl/sbin/rmmodentfernen.stop— Falls eine Firewall ausgeführt wird, werden die Firewall-Regeln im Speicher gelöscht und alle IPTables-Module und Helfer entladen.Wenn dieIPTABLES_SAVE_ON_STOP-Direktive in der Konfigurationsdatei/etc/sysconfig/iptables-configvom Standardwert aufyesgeändert wurde, werden die augenblicklichen Regeln unter/etc/sysconfig/iptablesgespeichert und jede bestehende Regel nach/etc/sysconfig/iptables.saveverschoben.Werfen Sie einen Blick auf Abschnitt 2.6.4.1, »Konfigurationsdatei der IPTables-Kontrollskripte« für weitere Informationen zuriptables-config-Datei.restart— Falls eine Firewall ausgeführt wird, werden die Firewall-Regeln im Speicher gelöscht und die Firewall, sollte sie in/etc/sysconfig/iptableskonfiguriert sein, neu gestartet. Diese Option funktioniert nur dann, wenn dasipchainsKernel-Modul nicht geladen ist.Wenn dieIPTABLES_SAVE_ON_RESTART-Direktive der Konfigurationsdatei/etc/sysconfig/iptables-configvom Standardwert aufyesgeändert wurde, werden die augenblicklichen Regeln unter/etc/sysconfig/iptablesgespeichert und jede bestehende Regel nach/etc/sysconfig/iptables.saveverschoben.Werfen Sie einen Blick auf Abschnitt 2.6.4.1, »Konfigurationsdatei der IPTables-Kontrollskripte« für weitere Informationen zuriptables-config-Datei.status— Zeigt den Status einer Firewall an und listet alle aktiven Regeln auf.Die Standardkonfiguration für diese Option zeigt die IP-Adressen in jeder Regel an. Um Informationen über Domain- und Hostnamen anzuzeigen, bearbeiten Sie die Datei/etc/sysconfig/iptables-configund setzen den Wert vonIPTABLES_STATUS_NUMERICaufno. Werfen Sie einen Blick auf Abschnitt 2.6.4.1, »Konfigurationsdatei der IPTables-Kontrollskripte« für weitere Informationen zuriptables-config-Datei.panic— Löscht alle Firewall-Regeln. Die Richtlinie aller konfigurierten Tabellen wird aufDROPgesetzt.Diese Option kann nützlich sein, wenn ein Server im Verdacht steht, kompromittiert worden zu sein. Anstatt das System physisch vom Netzwerk zu trennen oder es herunterzufahren, können Sie mithilfe dieser Option jeglichen weiteren Netzwerkverkehr stoppen und gleichzeitig den Rechner in einem Zustand belassen, der eine Analyse oder andere forensische Untersuchungen ermöglicht.save— Speichert Firewall-Regeln mittelsiptables-savenach/etc/sysconfig/iptables. Werfen Sie einen Blick auf Abschnitt 2.6.3, »Speichern von IPTables-Regeln« für weitere Informationen.
Anmerkung
Um die gleichen Initskript-Befehle zu verwenden, um Netfilter für IPv6 zu steuern, ersetzen Sie
iptables durch ip6tables in den in diesem Abschnitt angegebenen /sbin/service-Befehlen. Für weitere Informationen zu IPv6 und Netfilter, werfen Sie einen Blick auf Abschnitt 2.6.5, »IPTables und IPv6«.
2.6.4.1. Konfigurationsdatei der IPTables-Kontrollskripte
Das Verhalten des
iptables-init-Skripts wird durch die Konfigurationsdatei /etc/sysconfig/iptables-config gesteuert. Nachfolgend sehen Sie eine Liste der in dieser Datei enthaltenen Direktiven:
IPTABLES_MODULES— Gibt eine durch Leerzeichen getrennte Liste von zusätzlicheniptables-Modulen an, die beim Aktivieren einer Firewall geladen werden, wie z. B. Verbindungs-Tracker und NAT-Helfer.IPTABLES_MODULES_UNLOAD— Entlädt Module beim Neustarten und Stoppen. Diese Direktive akzeptiert die folgenden Werte:yes— Der Standardwert. Diese Option muss gesetzt sein, um einen richtigen Status für einen Firewall-Neustart oder -Stopp zu erhalten.no— Diese Option sollte nur dann gesetzt sein, wenn es Probleme beim Entladen der Netfilter-Module gibt.
IPTABLES_SAVE_ON_STOP— Speichert die aktuellen Firewall-Regeln unter/etc/sysconfig/iptables, wenn die Firewall gestoppt wird. Diese Direktive akzeptiert folgende Werte:yes— Speichert vorhandene Regeln unter/etc/sysconfig/iptables, wenn die Firewall gestoppt wird. Die vorherige Version wird unter/etc/sysconfig/iptables.saveabgelegt.no— Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall gestoppt wird.
IPTABLES_SAVE_ON_RESTART— Speichert die aktuellen Firewall-Regeln, wenn die Firewall neu gestartet wird. Diese Direktive akzeptiert die folgenden Werte:yes— Speichert bestehende Regeln unter/etc/sysconfig/iptables, wenn die Firewall neu gestartet wird. Die vorherige Version wird dabei unter/etc/sysconfig/iptables.saveabgelegt.no— Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall neu gestartet wird.
IPTABLES_SAVE_COUNTER— Speichert und stellt alle Paket- und Byte-Zähler in allen Ketten und Regeln wieder her. Diese Direktive akzeptiert die folgenden Werte:yes— Speichert die Werte der Zähler.no— Der Standardwert. Speichert die Werte der Zähler nicht.
IPTABLES_STATUS_NUMERIC— Gibt die IP-Adressen in numerischer Form aus anstelle der Domain- oder Hostnamen. Diese Direktive akzeptiert die folgenden Werte:yes— Der Standardwert. Gibt lediglich IP-Adressen in der Statusanzeige aus.no— Gibt Domain- oder Hostnamen in der Statusanzeige aus.
