2.6.4. Scripts de control de IPTables
Existen dos métodos básicos para controlar
iptables en Red Hat Enterprise Linux:
- Firewall Configuration Tool (
system-config-firewall) — Una interfaz gráfica para crear, activar y guardar reglas de cortafuegos básicas. Consulte la Sección 2.5.2, “Configuración básica de cortafuegos” para obtener mayor información. /sbin/service iptables <option>— Se utiliza para manipular varias funciones deiptablesmediante el initscript. Las siguientes opciones están disponibles:start— Si un cortafuegos está configurado (es decir,/etc/sysconfig/iptablesexiste), todos losiptablesque se estén ejecutando se detendrán completamente y luego se iniciarán mediante el comando/sbin/iptables-restore. Esta opción solamente funciona si el módulo de kernelipchainsse carga, escriba el siguiente comando como root:[root@MyServer ~]# lsmod | grep ipchainsSi este comando no retorna ninguna salida, significa que el módulo no está cargado. Si es necesario, utilice el comando/sbin/rmmodpara retirar el módulo.stop— Si el cortafuegos está en ejecución, las reglas de cortafuegos en memoria se vacían y todos los módulos de iptables y asistentes se descargan.Si la directivaIPTABLES_SAVE_ON_STOPen el archivo de configuración/etc/sysconfig/iptables-configse cambia de su valor predeterminadoyes, las reglas actuales se guardarán en/etc/sysconfig/iptablesy las reglas existentes se desplazan al archivo/etc/sysconfig/iptables.save.Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivoiptables-config.restart— Si un cortafuegos está en ejecución, las reglas de cortafuegos en memoria se eliminan, y el cortafuegos se reinicia si está configurado en/etc/sysconfig/iptables. Esta opción solamente funciona si el módulo de kernelipchainsno está cargado.Si la directivaIPTABLES_SAVE_ON_RESTARTen el archivo de configuración/etc/sysconfig/iptables-configcambia de su valor predeterminado ayes, las reglas actuales se guardan en/etc/sysconfig/iptablesy las reglas existentes se desplazan al archivo/etc/sysconfig/iptables.save.Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivoiptables-config.status— Muestra el estatus del cortafuegos y lista todas las reglas activas.La configuración predeterminada para esta opción muestra las direcciones IP en cada regla. Para desplegar la información sobre el dominio y el nombre de host, modifique el archivo/etc/sysconfig/iptables-configy cambie el valor deIPTABLES_STATUS_NUMERICano. Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivo deiptables-config.panic— Vacía todas las reglas. La política de todas las tablas configuradas se establece aDROP.Esta opción podría ser útil si se sabe que el servidor está comprometido. En lugar de desconectarlo físicamente desde la red o de apagar el sistema, puede usar esta opción para detener el tráfico de red posterior y dejar a la máquina lista para el análisis u otros exámenes forenses.save— Guarda las reglas de cortafuegos para/etc/sysconfig/iptablesmedianteiptables-save. Consulte la Sección 2.6.3, “Cómo guardar reglas de IPTables” para obtener mayor información.
Nota
Para usar los mismos comandos initscript para controlar netfilter para IPv6, substituya
ip6tables por iptables en los comandos /sbin/service listados en esta sección. Para obtener mayor información sobre IPv6 y netfilter, consulte la Sección 2.6.5, “IPTables e IPv6”.
2.6.4.1. Archivo de configuración de scripts de control de IPTables
La conducta de los initscripts de
iptables es controlada por los archivos de configuración /etc/sysconfig/iptables-config. La siguiente es una lista de directivas contenidas en este archivo:
IPTABLES_MODULES— Especifica una lista de módulos deiptables, separada por espacios, para cargar cuando un cortafuegos esté activo. Estos módulos pueden incluir rastreo de conexiones y asistentes NAT.IPTABLES_MODULES_UNLOAD— Descarga módulos en el reinicio y se detiene. Esta directiva acepta los siguientes valores:yes— Es el valor predeterminado. Esta opción debe configurarse para establecer un estado correcto para que un cortafuegos reinicie o se detenga.no— Esta opción se debe establecer únicamente si hay problemas con la descarga de módulos de netfilter.
IPTABLES_SAVE_ON_STOP— Guarda las reglas de cortafuegos actuales para/etc/sysconfig/iptablescuando el cortafuegos se detiene. Esta directiva acepta los siguientes valores:yes— Guarda las reglas existentes para/etc/sysconfig/iptablescuando el cortafuegos se detiene, se desplaza la versión anterior a la del archivo/etc/sysconfig/iptables.save.\nno— El valor predeterminado. No guarda las reglas existentes cuando se detiene el cortafuegos.
IPTABLES_SAVE_ON_RESTART— Guarda las reglas de cortafuegos actuales cuando se reinicia el cortafuegos. Esta directiva acepta los siguientes valores:yes— Guarda las reglas existentes en/etc/sysconfig/iptablescuando se reinicia el cortafuegos, desplazando la versión anterior del archivo/etc/sysconfig/iptables.save.no— El valor predeterminado. No guarda reglas cuando se reinicia el cortafuegos.
IPTABLES_SAVE_COUNTER— Guarda y restaura todos los paquetes y contadores de bytes en todas las cadenas y reglas. Esta directiva acepta los siguientes valores:yes— Guarda los valores de contador.no— Es el valor predeterminado. No guarda los valores de contador.
IPTABLES_STATUS_NUMERIC— Direcciones IP de salida en forma numérica en lugar de dominio o nombres de host. Esta directiva acepta los siguientes valores:yes— Es el valor predeterminado. Retorna únicamente direcciones IP dentro de una salida de estatus.no— Retorna el dominio o nombres de host dentro de una salida de estatus.
