Red Hat Summit Red Hat SummitSupportKonsoleEntwicklerDemo startenKontakt

2.6.4. IPTables Kontrollskripte

In Red Hat Enterprise Linux gibt es zwei grundlegende Methoden zur Steuerung von iptables:
  • Firewall-Konfigurationstool (system-config-selinux) — Eine grafische Benutzeroberfläche zum Erstellen, Aktivieren und Speichern von einfachen Firewall-Regeln. Weitere Informationen über die Verwendung dieses Tools finden Sie unter Abschnitt 2.5.2, »Grundlegende Firewall-Konfiguration«.
  • /sbin/service iptables <option> — Wird verwendet, um verschiedene Funktionen von iptables zu handhaben, unter Verwendung des init-Skripts von IPTables. Die folgenden Optionen stehen zur Verfügung:
    • start — Ist eine Firewall konfiguriert (d. h. /etc/sysconfig/iptables ist vorhanden), werden alle laufenden iptables komplett beendet und dann mit dem Befehl /sbin/iptables-restore gestartet. Diese Option funktioniert nur dann, wenn das ipchains Kernel-Modul nicht geladen ist. Um zu überprüfen, ob dieses Modul geladen ist, führen Sie als Root folgenden Befehl aus: 
       [root@MyServer ~]# lsmod | grep ipchains
      Copy to Clipboard Toggle word wrap
      Wenn dieser Befehl keine Ausgabe zurückgibt, ist das Modul nicht geladen. Falls nötig, können Sie das Modul mit dem Befehl /sbin/rmmod entfernen.
    • stop — Falls eine Firewall ausgeführt wird, werden die Firewall-Regeln im Speicher gelöscht und alle IPTables-Module und Helfer entladen.
      Wenn die IPTABLES_SAVE_ON_STOP-Direktive in der Konfigurationsdatei /etc/sysconfig/iptables-config vom Standardwert auf yes geändert wurde, werden die augenblicklichen Regeln unter /etc/sysconfig/iptables gespeichert und jede bestehende Regel nach /etc/sysconfig/iptables.save verschoben.
      Werfen Sie einen Blick auf Abschnitt 2.6.4.1, »Konfigurationsdatei der IPTables-Kontrollskripte« für weitere Informationen zur iptables-config-Datei.
    • restart — Falls eine Firewall ausgeführt wird, werden die Firewall-Regeln im Speicher gelöscht und die Firewall, sollte sie in /etc/sysconfig/iptables konfiguriert sein, neu gestartet. Diese Option funktioniert nur dann, wenn das ipchains Kernel-Modul nicht geladen ist.
      Wenn die IPTABLES_SAVE_ON_RESTART-Direktive der Konfigurationsdatei /etc/sysconfig/iptables-config vom Standardwert auf yes geändert wurde, werden die augenblicklichen Regeln unter /etc/sysconfig/iptables gespeichert und jede bestehende Regel nach /etc/sysconfig/iptables.save verschoben.
      Werfen Sie einen Blick auf Abschnitt 2.6.4.1, »Konfigurationsdatei der IPTables-Kontrollskripte« für weitere Informationen zur iptables-config-Datei.
    • status — Zeigt den Status einer Firewall an und listet alle aktiven Regeln auf.
      Die Standardkonfiguration für diese Option zeigt die IP-Adressen in jeder Regel an. Um Informationen über Domain- und Hostnamen anzuzeigen, bearbeiten Sie die Datei /etc/sysconfig/iptables-config und setzen den Wert von IPTABLES_STATUS_NUMERIC auf no. Werfen Sie einen Blick auf Abschnitt 2.6.4.1, »Konfigurationsdatei der IPTables-Kontrollskripte« für weitere Informationen zur iptables-config-Datei.
    • panic — Löscht alle Firewall-Regeln. Die Richtlinie aller konfigurierten Tabellen wird auf DROP gesetzt.
      Diese Option kann nützlich sein, wenn ein Server im Verdacht steht, kompromittiert worden zu sein. Anstatt das System physisch vom Netzwerk zu trennen oder es herunterzufahren, können Sie mithilfe dieser Option jeglichen weiteren Netzwerkverkehr stoppen und gleichzeitig den Rechner in einem Zustand belassen, der eine Analyse oder andere forensische Untersuchungen ermöglicht.
    • save — Speichert Firewall-Regeln mittels iptables-save nach /etc/sysconfig/iptables. Werfen Sie einen Blick auf Abschnitt 2.6.3, »Speichern von IPTables-Regeln« für weitere Informationen.

Anmerkung

Um die gleichen Initskript-Befehle zu verwenden, um Netfilter für IPv6 zu steuern, ersetzen Sie iptables durch ip6tables in den in diesem Abschnitt angegebenen /sbin/service-Befehlen. Für weitere Informationen zu IPv6 und Netfilter, werfen Sie einen Blick auf Abschnitt 2.6.5, »IPTables und IPv6«.

2.6.4.1. Konfigurationsdatei der IPTables-Kontrollskripte
Link kopieren

Das Verhalten des iptables-init-Skripts wird durch die Konfigurationsdatei /etc/sysconfig/iptables-config gesteuert. Nachfolgend sehen Sie eine Liste der in dieser Datei enthaltenen Direktiven:
  • IPTABLES_MODULES — Gibt eine durch Leerzeichen getrennte Liste von zusätzlichen iptables-Modulen an, die beim Aktivieren einer Firewall geladen werden, wie z. B. Verbindungs-Tracker und NAT-Helfer.
  • IPTABLES_MODULES_UNLOAD — Entlädt Module beim Neustarten und Stoppen. Diese Direktive akzeptiert die folgenden Werte:
    • yes — Der Standardwert. Diese Option muss gesetzt sein, um einen richtigen Status für einen Firewall-Neustart oder -Stopp zu erhalten.
    • no — Diese Option sollte nur dann gesetzt sein, wenn es Probleme beim Entladen der Netfilter-Module gibt.
  • IPTABLES_SAVE_ON_STOP — Speichert die aktuellen Firewall-Regeln unter /etc/sysconfig/iptables, wenn die Firewall gestoppt wird. Diese Direktive akzeptiert folgende Werte:
    • yes — Speichert vorhandene Regeln unter /etc/sysconfig/iptables, wenn die Firewall gestoppt wird. Die vorherige Version wird unter /etc/sysconfig/iptables.save abgelegt.
    • no — Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall gestoppt wird.
  • IPTABLES_SAVE_ON_RESTART — Speichert die aktuellen Firewall-Regeln, wenn die Firewall neu gestartet wird. Diese Direktive akzeptiert die folgenden Werte:
    • yes — Speichert bestehende Regeln unter /etc/sysconfig/iptables, wenn die Firewall neu gestartet wird. Die vorherige Version wird dabei unter /etc/sysconfig/iptables.save abgelegt.
    • no — Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall neu gestartet wird.
  • IPTABLES_SAVE_COUNTER — Speichert und stellt alle Paket- und Byte-Zähler in allen Ketten und Regeln wieder her. Diese Direktive akzeptiert die folgenden Werte:
    • yes — Speichert die Werte der Zähler.
    • no — Der Standardwert. Speichert die Werte der Zähler nicht.
  • IPTABLES_STATUS_NUMERIC — Gibt die IP-Adressen in numerischer Form aus anstelle der Domain- oder Hostnamen. Diese Direktive akzeptiert die folgenden Werte:
    • yes — Der Standardwert. Gibt lediglich IP-Adressen in der Statusanzeige aus.
    • no — Gibt Domain- oder Hostnamen in der Statusanzeige aus.
Nach oben
Red Hat logoGithubredditYoutubeTwitter

Lernen

Testen, kaufen und verkaufen

Communitys

Über Red Hat Dokumentation

Wir helfen Red Hat Benutzern, mit unseren Produkten und Diensten innovativ zu sein und ihre Ziele zu erreichen – mit Inhalten, denen sie vertrauen können. Entdecken Sie unsere neuesten Updates.

Mehr Inklusion in Open Source

Red Hat hat sich verpflichtet, problematische Sprache in unserem Code, unserer Dokumentation und unseren Web-Eigenschaften zu ersetzen. Weitere Einzelheiten finden Sie in Red Hat Blog.

Über Red Hat

Wir liefern gehärtete Lösungen, die es Unternehmen leichter machen, plattform- und umgebungsübergreifend zu arbeiten, vom zentralen Rechenzentrum bis zum Netzwerkrand.

Theme

© 2025 Red Hat