2.6.4. Scripts de control de IPTables
Existen dos métodos básicos para controlar
iptables
en Red Hat Enterprise Linux:
- Firewall Configuration Tool (
system-config-firewall
) — Una interfaz gráfica para crear, activar y guardar reglas de cortafuegos básicas. Consulte la Sección 2.5.2, “Configuración básica de cortafuegos” para obtener mayor información. /sbin/service iptables <option>
— Se utiliza para manipular varias funciones deiptables
mediante el initscript. Las siguientes opciones están disponibles:start
— Si un cortafuegos está configurado (es decir,/etc/sysconfig/iptables
existe), todos losiptables
que se estén ejecutando se detendrán completamente y luego se iniciarán mediante el comando/sbin/iptables-restore
. Esta opción solamente funciona si el módulo de kernelipchains
se carga, escriba el siguiente comando como root:[root@MyServer ~]# lsmod | grep ipchains
Si este comando no retorna ninguna salida, significa que el módulo no está cargado. Si es necesario, utilice el comando/sbin/rmmod
para retirar el módulo.stop
— Si el cortafuegos está en ejecución, las reglas de cortafuegos en memoria se vacían y todos los módulos de iptables y asistentes se descargan.Si la directivaIPTABLES_SAVE_ON_STOP
en el archivo de configuración/etc/sysconfig/iptables-config
se cambia de su valor predeterminadoyes
, las reglas actuales se guardarán en/etc/sysconfig/iptables
y las reglas existentes se desplazan al archivo/etc/sysconfig/iptables.save
.Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivoiptables-config
.restart
— Si un cortafuegos está en ejecución, las reglas de cortafuegos en memoria se eliminan, y el cortafuegos se reinicia si está configurado en/etc/sysconfig/iptables
. Esta opción solamente funciona si el módulo de kernelipchains
no está cargado.Si la directivaIPTABLES_SAVE_ON_RESTART
en el archivo de configuración/etc/sysconfig/iptables-config
cambia de su valor predeterminado ayes
, las reglas actuales se guardan en/etc/sysconfig/iptables
y las reglas existentes se desplazan al archivo/etc/sysconfig/iptables.save
.Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivoiptables-config
.status
— Muestra el estatus del cortafuegos y lista todas las reglas activas.La configuración predeterminada para esta opción muestra las direcciones IP en cada regla. Para desplegar la información sobre el dominio y el nombre de host, modifique el archivo/etc/sysconfig/iptables-config
y cambie el valor deIPTABLES_STATUS_NUMERIC
ano
. Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivo deiptables-config
.panic
— Vacía todas las reglas. La política de todas las tablas configuradas se establece aDROP
.Esta opción podría ser útil si se sabe que el servidor está comprometido. En lugar de desconectarlo físicamente desde la red o de apagar el sistema, puede usar esta opción para detener el tráfico de red posterior y dejar a la máquina lista para el análisis u otros exámenes forenses.save
— Guarda las reglas de cortafuegos para/etc/sysconfig/iptables
medianteiptables-save
. Consulte la Sección 2.6.3, “Cómo guardar reglas de IPTables” para obtener mayor información.
Nota
Para usar los mismos comandos initscript para controlar netfilter para IPv6, substituya
ip6tables
por iptables
en los comandos /sbin/service
listados en esta sección. Para obtener mayor información sobre IPv6 y netfilter, consulte la Sección 2.6.5, “IPTables e IPv6”.
2.6.4.1. Archivo de configuración de scripts de control de IPTables
La conducta de los initscripts de
iptables
es controlada por los archivos de configuración /etc/sysconfig/iptables-config
. La siguiente es una lista de directivas contenidas en este archivo:
IPTABLES_MODULES
— Especifica una lista de módulos deiptables
, separada por espacios, para cargar cuando un cortafuegos esté activo. Estos módulos pueden incluir rastreo de conexiones y asistentes NAT.IPTABLES_MODULES_UNLOAD
— Descarga módulos en el reinicio y se detiene. Esta directiva acepta los siguientes valores:yes
— Es el valor predeterminado. Esta opción debe configurarse para establecer un estado correcto para que un cortafuegos reinicie o se detenga.no
— Esta opción se debe establecer únicamente si hay problemas con la descarga de módulos de netfilter.
IPTABLES_SAVE_ON_STOP
— Guarda las reglas de cortafuegos actuales para/etc/sysconfig/iptables
cuando el cortafuegos se detiene. Esta directiva acepta los siguientes valores:yes
— Guarda las reglas existentes para/etc/sysconfig/iptables
cuando el cortafuegos se detiene, se desplaza la versión anterior a la del archivo/etc/sysconfig/iptables.save
.\nno
— El valor predeterminado. No guarda las reglas existentes cuando se detiene el cortafuegos.
IPTABLES_SAVE_ON_RESTART
— Guarda las reglas de cortafuegos actuales cuando se reinicia el cortafuegos. Esta directiva acepta los siguientes valores:yes
— Guarda las reglas existentes en/etc/sysconfig/iptables
cuando se reinicia el cortafuegos, desplazando la versión anterior del archivo/etc/sysconfig/iptables.save
.no
— El valor predeterminado. No guarda reglas cuando se reinicia el cortafuegos.
IPTABLES_SAVE_COUNTER
— Guarda y restaura todos los paquetes y contadores de bytes en todas las cadenas y reglas. Esta directiva acepta los siguientes valores:yes
— Guarda los valores de contador.no
— Es el valor predeterminado. No guarda los valores de contador.
IPTABLES_STATUS_NUMERIC
— Direcciones IP de salida en forma numérica en lugar de dominio o nombres de host. Esta directiva acepta los siguientes valores:yes
— Es el valor predeterminado. Retorna únicamente direcciones IP dentro de una salida de estatus.no
— Retorna el dominio o nombres de host dentro de una salida de estatus.