2.6.4. Scripts de Controle de IPTables
Existem dois métodos básicos para controlar o
iptables no Red Hat Enterprise Linux:
- Firewall Configuration Tool (
system-config-firewall) — Uma interface gráfica para criar, ativar e salvar regras de firewall básicas. Consulte a Seção 2.5.2, “Configuração de Firewall Básica” para mais informações. /sbin/service iptables <option>— Usado para manipular diversas funções deiptablesusando seu initscript. As seguintes opções estão disponíveis:start— se um firewall é configurado (ou seja, o/etc/sysconfig/iptablesexiste), todos osiptablesem execução são interrompidos completamente e depois iniciados usando o comando/sbin/iptables-restore. Esta opção funciona somente se o módulo do kernelipchainsnão for carregado. Para verificar se o módulo foi carregado, digite o seguinte comando como usuário root:[root@MyServer ~]# lsmod | grep ipchainsSe este comando retornar nenhum resultado, significa que o módulo não foi carregado. Se necessário, use o comando/sbin/rmmodpara remover o módulo.stop— Se o firewall estiver rodando, as suas regras na memória serão liberadas e todos os módulos do iptables e auxiliares serão descarregados.Se a diretivaIPTABLES_SAVE_ON_STOPno arquivo de configuração do/etc/sysconfig/iptables-configé modificado de seu valor padrão parayes,as regras atuais serão salvas em/etc/sysconfig/iptablese quaisquer regras existentes serão movidas para o arquivo/etc/sysconfig/iptables.save.Refer to Seção 2.6.4.1, “Arquivo de Configuração de Scripts de Controle do IPTables” para mais informações sobre o arquivoiptables-config.restart— Se um firewall estiver sendo executado, as regras do firewall na memória serão liberadas, e o firewall será iniciado novamente se estiver configurado no/etc/sysconfig/iptables. Esta opção funciona somente se o módulo do kernelipchainsnão for carregado.\n\t\nSe a diretivaIPTABLES_SAVE_ON_RESTARTno arquivo de configuração/etc/sysconfig/iptables-configfor modificada de seu valor padrão parayes, as regras atuais serão salvas em/etc/sysconfig/iptablese quaisquer regras existentes serão movidas para o arquivo/etc/sysconfig/iptables.save.Refer to Seção 2.6.4.1, “Arquivo de Configuração de Scripts de Controle do IPTables” para mais informações sobre o arquivoiptables-config.status— Exibe o status do firewall e lista todas as regras ativas.A configuração padrão para esta opção exibe os endereços IP em cada regra. Para exibir as informações do domínio e hostname, edite o arquivo/etc/sysconfig/iptables-confige mude o valor deIPTABLES_STATUS_NUMERICparano. Consulte a Seção 2.6.4.1, “Arquivo de Configuração de Scripts de Controle do IPTables” para obter mais informações sobre o arquivoiptables-config.panic— Ribera todas as regras do firewall. A política de todas as tabelas configuradas está definida paraDROP.Esta opção pode ser útil se um servidor estiver comprometido. Ao invés de desconectar fisicamente da rede ou fechar o sistema, você pode usar esta opção para interromper todos os tráfegos de rede futuros mas deixar a máquina em um estado pronto para análise ou outros investigações.save— Salva as regras do firewall em/etc/sysconfig/iptablesusandoiptables-save. Consulte a Seção 2.6.3, “Salvando Regras de IPTables” para mais informações.
Nota
Para usar os mesmos comandos initscript para controlar o netfilter para o IPv6, substitua o
ip6tables pelo iptables nos comandos /sbin/service listados nesta seção. Para mais informações sobre o IPv6 e netfilter, consulte a Seção 2.6.5, “IPTables e IPv6”.
2.6.4.1. Arquivo de Configuração de Scripts de Controle do IPTables
O comportamento do initscripts do
iptables é controlado pelo arquivo de configuração /etc/sysconfig/iptables-config. Esta é uma lista das diretivas contidas neste arquivo:
IPTABLES_MODULES— Especifica uma lista separada por espaços dos módulos deiptablesadicionais para carregar quando um firewall é ativado. Estes podem incluir a conexão de rastreamento e auxiliares do NAT.IPTABLES_MODULES_UNLOAD— Descarrega módulos na reinicialização e pára. Esta diretiva aceita os seguintes valores:yes— O valor padrão. Esta opção deve ser definida para alcançar um estado correto para um reinício ou parada de firewall.no— Esta opção deve ser somente definida se existirem problemas para descarregar os módulos do netfilter.
IPTABLES_SAVE_ON_STOP— Salva as regras atuais do firewall em/etc/sysconfig/iptablesquando um firewall é interrompido. Esta diretiva aceita os seguintes valores:yes— Salva as regras existentes em/etc/sysconfig/iptablesquando o firewall é interrompido, movendo a versão anterior para o arquivo/etc/sysconfig/iptables.save.no— O valor padrão. Não salva regras existentes quando o firewall for interrompido.
IPTABLES_SAVE_ON_RESTART— Salva regras atuais de firewall quando o firewall é reinicializado. Esta diretiva aceita os seguintes valores:yes— Salva as regras existentes em/etc/sysconfig/iptablesquando o firewall é reiniciado, movendo a versão anterior para o arquivo/etc/sysconfig/iptables.save.no— O valor padrão. Não salva regras existentes quando o firewall é reiniciado.
IPTABLES_SAVE_COUNTER— Salva e recupera todos os pacotes e contadores de bytes em todas as correntes e regras. Esta diretiva aceita os seguintes valores:yes— Salva os valores do contador.no— O valor default. Não salva os valores do contador.
IPTABLES_STATUS_NUMERIC— Fornece resultado de endereços IP em forma númerica ao invés do domínio ou hostnames. Esta diretiva aceita os seguintes valores:yes— O valor padrão. Retorna somente os endereços IP dentro do resultado do status.no— Retorna o domínio ou hostnames dentro do resultado do status.
