2.8.9.4. iptables の制御スクリプト
Red Hat Enterprise Linux では、以下の 2 つの基本的な方法 iptables で制御できます。
- Firewall Configuration Tool (system-config-firewall)- 基本的なファイアウォールルールを作成、アクティブ化、および保存するためのグラフィカルインターフェースです。詳細は「ファイアウォールの基本設定」を参照してください。
- /sbin/service iptables <option> : init スクリプトを使用するさまざまな機能を操作するために iptables 使用されます。以下のタイプが使用できます。
- start : ファイアウォールが設定されている(
/etc/sysconfig/iptables存在する場合)、実行中のはすべて完全に停止 iptables され、/sbin/iptables-restore コマンドを使用して開始します。このオプションは、ipchains カーネルモジュールが読み込まれて いない 場合にのみ機能します。このモジュールが読み込まれているかどうかを確認するには、root で次のコマンドを実行します。~]# lsmod | grep ipchainsこのコマンドによって出力が返されない場合、モジュールが読み込まれていないことを意味します。必要に応じて、/sbin/rmmod コマンドを使用してモジュールを削除します。 - stop - ファイアウォールを実行している場合は、メモリー内のファイアウォールルールがフラッシュされ、すべての iptables モジュールとヘルパーがアンロードされます。
/etc/sysconfig/iptables-config設定ファイルの IPTABLES_SAVE_ON_STOP ディレクティブがデフォルト値からに変更される/etc/sysconfig/iptablesと yes、現在のルールはに保存され、既存のルールはファイルに移動し/etc/sysconfig/iptables.saveます。iptables-configファイル 「iptables の制御スクリプト設定ファイル」 の詳細は、を参照してください。 - reload : ファイアウォールを実行している場合は、設定ファイルからファイアウォールルールがリロードされます。この reload コマンドは、以前使用されていたヘルパーをアンロードしませんが、(
IPv4)および IP6TABLES_MODULES(IPv6)の場合は、IPTABLES_MODULES(IPv4)に追加されている新しいヘルパーを追加します。現在のファイアウォールルールをフラッシュしない利点は、ルールにエラーがあるため、新しいルールを適用できない場合は、古いルールがまだあることです。 - restart - ファイアウォールを実行している場合は、メモリー内のファイアウォールルールがフラッシュされ、でファイアウォールが設定されている場合はファイアウォールが再び起動し
/etc/sysconfig/iptablesます。このオプションは、ipchains カーネルモジュールが読み込まれていない場合にのみ機能します。/etc/sysconfig/iptables-config設定ファイルの IPTABLES_SAVE_ON_RESTART ディレクティブがデフォルト値からに変更される/etc/sysconfig/iptablesと yes、現在のルールはに保存され、既存のルールはファイルに移動し/etc/sysconfig/iptables.saveます。iptables-configファイル 「iptables の制御スクリプト設定ファイル」 の詳細は、を参照してください。 - status : ファイアウォールのステータスを表示し、アクティブなルールを一覧表示します。このオプションのデフォルト設定では、各ルールに IP アドレスが表示されます。ドメインおよびホスト名の情報を表示するには、
/etc/sysconfig/iptables-configファイルを編集し、の値をに変更 IPTABLES_STATUS_NUMERIC し noます。iptables-configファイル 「iptables の制御スクリプト設定ファイル」 の詳細は、を参照してください。 - panic : ファイアウォールルールをすべてフラッシュします。設定されたすべてのテーブルのポリシーはに設定され DROPます。このオプションは、サーバーが危険にさらされることを認識している場合に役立ちます。ネットワークと物理的に切断したり、システムをシャットダウンしたりするのではなく、このオプションを使用して、追加のネットワークトラフィックを停止できますが、マシンを分析やその他のフォレンジックに準備が整った状態にすることができます。
注記
同じ initscript コマンドを使用して IPv6 の netfilter を制御するには、本セクションに ip6tables iptables 記載 /sbin/service のコマンドのに置き換えます。IPv6 および netfilter の詳細は、を参照してください 「iptables および IPv6」。
2.8.9.4.1. iptables の制御スクリプト設定ファイル
init スクリプトの動作は
/etc/sysconfig/iptables-config 設定ファイル iptables によって制御されます。以下は、このファイルに含まれるディレクティブの一覧です。
- IPTABLES_MODULES : ファイアウォールがアクティブになると読み込む追加 iptables モジュールのスペース区切りの一覧を指定します。これには、接続追跡や NAT ヘルパーが含まれます。
- IPTABLES_MODULES_UNLOAD : 再起動して停止時にモジュールをアンロードします。このディレクティブは、以下の値を受け入れます。
- yes : デフォルト値はです。ファイアウォールの再起動または停止の正しい状態を実現するには、このオプションを設定する必要があります。
- no - このオプションは、netfilter モジュールのアンロードの問題がある場合にのみ設定する必要があります。
- IPTABLES_SAVE_ON_STOP : ファイアウォールが停止した
/etc/sysconfig/iptables場合に、現在のファイアウォールルールをに保存します。このディレクティブは、以下の値を受け入れます。- yes : 既存のルールをに保存し、ファイアウォールが停止した
/etc/sysconfig/iptables時に以前のバージョンを/etc/sysconfig/iptables.saveファイルに移動します。 - no : デフォルト値はです。ファイアウォールが停止した時に既存のルールを保存しません。
- IPTABLES_SAVE_ON_RESTART : ファイアウォールが再起動すると、現在のファイアウォールルールを保存します。このディレクティブは、以下の値を受け入れます。
- yes : 既存のルールをに保存し、ファイアウォールが再起動し
/etc/sysconfig/iptablesたら、以前のバージョンを/etc/sysconfig/iptables.saveファイルに移動します。 - no : デフォルト値はです。ファイアウォールを再起動する際には、既存のルールを保存しません。
- IPTABLES_SAVE_COUNTER : すべてのチェーンおよびルールで、パケットとバイトカウンターをすべて保存して復元します。このディレクティブは、以下の値を受け入れます。
- yes : カウンター値を保存します。
- no : デフォルト値はです。カウンター値を保存しません。
- IPTABLES_STATUS_NUMERIC : ドメインまたはホスト名ではなく数値の IP アドレスを出力します。このディレクティブは、以下の値を受け入れます。
- yes : デフォルト値はです。ステータス出力内の IP アドレスのみを返します。
- no : ステータス出力内でドメインまたはホスト名を返します。
