48.9.5. iptables 制御スクリプト
Red Hat Enterprise Linux では、iptables を制御する基本的な方法が 2 つあります。
- Security Level Configuration Tool (system-config-securitylevel): 基本的なファイアウォールルールを作成、アクティベート、および保存するグラフィカルインターフェイスです。詳細は、「ファイアウォールの基本設定」 を参照してください。
- /sbin/service iptables < option>: initscript を使用して iptables のさまざまな機能を操作するのに使用します。以下のオプションを設定できます。
- start - ファイアウォールが設定されている場合(つまり
/etc/sysconfig/iptablesが存在する場合)、実行中の iptables はすべて完全に停止され、/sbin/iptables-restore コマンドを使用して起動します。このオプションは、ipchains カーネルモジュールがロードされていない場合にのみ機能します。このモジュールが読み込まれているかどうかを確認するには、root で以下のコマンドを入力します。lsmod | grep ipchainsこのコマンドで出力が返されない場合は、モジュールが読み込まれていないことを意味します。必要に応じて、/sbin/rmmod コマンドを使用してモジュールを削除します。 - stop - ファイアウォールが実行されている場合、メモリーのファイアウォールルールがフラッシュされ、すべての iptables モジュールとヘルパーがアンロードされます。
/etc/sysconfig/iptables-config設定ファイルの IPTABLES_SAVE_ON_STOP ディレクティブがデフォルト値から yes に変更されると、現在のルールは/etc/sysconfig/iptablesに保存され、既存のルールは/etc/sysconfig/iptables.saveファイルに移動します。iptables-configファイルの詳細は、「iptables 制御スクリプト設定ファイル」 を参照してください。 - restart: ファイアウォールが実行されている場合、メモリーのファイアウォールルールがフラッシュされ、
/etc/sysconfig/iptablesで設定されている場合はファイアウォールが再度起動します。このオプションは、ipchains カーネルモジュールがロードされていない場合にのみ機能します。/etc/sysconfig/iptables-config設定ファイルの IPTABLES_SAVE_ON_RESTART ディレクティブがデフォルト値から yes に変更されると、現在のルールは/etc/sysconfig/iptablesに保存され、既存のルールは/etc/sysconfig/iptables.saveファイルに移動します。iptables-configファイルの詳細は、「iptables 制御スクリプト設定ファイル」 を参照してください。 - ステータス - ファイアウォールのステータスを表示し、すべてのアクティブなルールを一覧表示します。このオプションのデフォルト設定では、各ルールの IP アドレスが表示されます。ドメインおよびホスト名の情報を表示するには、
/etc/sysconfig/iptables-configファイルを編集し、IPTABLES_STATUS_NUMERIC の値を no に変更します。iptables-configファイルの詳細は、「iptables 制御スクリプト設定ファイル」 を参照してください。 - panic - すべてのファイアウォールルールを表示します。設定されたすべてのテーブルのポリシーは DROP に設定されます。このオプションは、サーバーが危険にさらされることがわかっている場合に役立ちます。ネットワークから物理的に切断したり、システムをシャットダウンしたりするのではなく、このオプションを使用して、それ以降のネットワークトラフィックをすべて停止できますが、分析またはその他のフォレンジック用にマシンを状態にしておくことができます。
- Save: iptables- save を使用して、ファイアウォールルールを
/etc/sysconfig/ iptables に保存します。詳細は、「IPTables ルールの保存」 を参照してください。
ヒント
同じ initscript コマンドを使用して IPv66 のfilter を制御するには、このセクションに記載されている /sbin/service コマンドの ip6tables を iptables に置き換えます。IPv6 およびfilter の詳細は、「iptables および IPv6」 を参照してください。
48.9.5.1. iptables 制御スクリプト設定ファイル
iptables initscripts の動作は、
/etc/sysconfig/iptables-config 設定ファイルによって制御されます。以下は、このファイルに含まれるディレクティブの一覧です。
- IPTABLES_MODULES - ファイアウォールがアクティブ化されたときにロードする追加の iptables モジュールのスペース区切りの一覧を指定します。これには、接続追跡および NAT ヘルパーを含めることができます。
- IPTABLES_MODULES_UNLOAD - 再起動および停止時にモジュールをアンロードします。このディレクティブは、以下の値を受け入れます。
- ◯: デフォルト値。このオプションは、ファイアウォールの再起動または停止について正しい状態を実現するように設定する必要があります。
- no: このオプションは、netfilter モジュールのアンロードに問題がある場合にのみ設定する必要があります。
- IPTABLES_SAVE_ON_STOP: ファイアウォールが停止したときに現在のファイアウォールルールを
/etc/sysconfig/iptablesに保存します。このディレクティブは、以下の値を受け入れます。- Yes: ファイアウォールが停止したときに既存のルールを
/etc/sysconfig/iptablesに保存し、以前のバージョンを/etc/sysconfig/iptables.saveファイルに移動します。 - no: デフォルト値は です。ファイアウォールが停止している場合、既存のルールを保存しません。
- IPTABLES_SAVE_ON_RESTART - ファイアウォールの再起動時に現在のファイアウォールルールを保存します。このディレクティブは、以下の値を受け入れます。
- Yes: ファイアウォールが再起動されたときに既存のルールを
/etc/sysconfig/iptablesに保存し、以前のバージョンを/etc/sysconfig/iptables.saveファイルに移動します。 - no: デフォルト値は です。ファイアウォールが再起動されても、既存のルールを保存しません。
- IPTABLES_SAVE_COUNTER - すべてのチェーンおよびルールですべてのパケットカウンターおよびバイトカウンターを保存し、復元します。このディレクティブは、以下の値を受け入れます。
- yes - カウンター値を保存します。
- no: デフォルト値は です。カウンター値を保存しません。
- IPTABLES_STATUS_NUMERIC - ドメインまたはホスト名ではなく、数値形式で IP アドレスを出力します。このディレクティブは、以下の値を受け入れます。
- ◯: デフォルト値。ステータス出力内の IP アドレスのみを返します。
- no: ステータス出力内のドメインまたはホスト名を返します。
