2.6.4. Scripts de control de IPTables

Existen dos métodos básicos para controlar iptables en Red Hat Enterprise Linux:
  • Firewall Configuration Tool (system-config-firewall) — Una interfaz gráfica para crear, activar y guardar reglas de cortafuegos básicas. Consulte la Sección 2.5.2, “Configuración básica de cortafuegos” para obtener mayor información.
  • /sbin/service iptables <option> — Se utiliza para manipular varias funciones de iptables mediante el initscript. Las siguientes opciones están disponibles:
    • start — Si un cortafuegos está configurado (es decir, /etc/sysconfig/iptables existe), todos los iptables que se estén ejecutando se detendrán completamente y luego se iniciarán mediante el comando /sbin/iptables-restore. Esta opción solamente funciona si el módulo de kernel ipchains se carga, escriba el siguiente comando como root:
       [root@MyServer ~]# lsmod | grep ipchains 
      Si este comando no retorna ninguna salida, significa que el módulo no está cargado. Si es necesario, utilice el comando /sbin/rmmod para retirar el módulo.
    • stop — Si el cortafuegos está en ejecución, las reglas de cortafuegos en memoria se vacían y todos los módulos de iptables y asistentes se descargan.
      Si la directiva IPTABLES_SAVE_ON_STOP en el archivo de configuración /etc/sysconfig/iptables-config se cambia de su valor predeterminado yes, las reglas actuales se guardarán en /etc/sysconfig/iptables y las reglas existentes se desplazan al archivo /etc/sysconfig/iptables.save.
      Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivo iptables-config.
    • restart — Si un cortafuegos está en ejecución, las reglas de cortafuegos en memoria se eliminan, y el cortafuegos se reinicia si está configurado en /etc/sysconfig/iptables. Esta opción solamente funciona si el módulo de kernel ipchains no está cargado.
      Si la directiva IPTABLES_SAVE_ON_RESTART en el archivo de configuración /etc/sysconfig/iptables-config cambia de su valor predeterminado a yes, las reglas actuales se guardan en /etc/sysconfig/iptables y las reglas existentes se desplazan al archivo /etc/sysconfig/iptables.save.
      Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivo iptables-config.
    • status — Muestra el estatus del cortafuegos y lista todas las reglas activas.
      La configuración predeterminada para esta opción muestra las direcciones IP en cada regla. Para desplegar la información sobre el dominio y el nombre de host, modifique el archivo /etc/sysconfig/iptables-config y cambie el valor de IPTABLES_STATUS_NUMERIC a no. Consulte la Sección 2.6.4.1, “Archivo de configuración de scripts de control de IPTables” para obtener mayor información sobre el archivo de iptables-config.
    • panic — Vacía todas las reglas. La política de todas las tablas configuradas se establece a DROP.
      Esta opción podría ser útil si se sabe que el servidor está comprometido. En lugar de desconectarlo físicamente desde la red o de apagar el sistema, puede usar esta opción para detener el tráfico de red posterior y dejar a la máquina lista para el análisis u otros exámenes forenses.
    • save — Guarda las reglas de cortafuegos para /etc/sysconfig/iptables mediante iptables-save. Consulte la Sección 2.6.3, “Cómo guardar reglas de IPTables” para obtener mayor información.

Nota

Para usar los mismos comandos initscript para controlar netfilter para IPv6, substituya ip6tables por iptables en los comandos /sbin/service listados en esta sección. Para obtener mayor información sobre IPv6 y netfilter, consulte la Sección 2.6.5, “IPTables e IPv6”.

2.6.4.1. Archivo de configuración de scripts de control de IPTables

La conducta de los initscripts de iptables es controlada por los archivos de configuración /etc/sysconfig/iptables-config. La siguiente es una lista de directivas contenidas en este archivo:
  • IPTABLES_MODULES — Especifica una lista de módulos de iptables, separada por espacios, para cargar cuando un cortafuegos esté activo. Estos módulos pueden incluir rastreo de conexiones y asistentes NAT.
  • IPTABLES_MODULES_UNLOAD — Descarga módulos en el reinicio y se detiene. Esta directiva acepta los siguientes valores:
    • yes — Es el valor predeterminado. Esta opción debe configurarse para establecer un estado correcto para que un cortafuegos reinicie o se detenga.
    • no — Esta opción se debe establecer únicamente si hay problemas con la descarga de módulos de netfilter.
  • IPTABLES_SAVE_ON_STOP — Guarda las reglas de cortafuegos actuales para /etc/sysconfig/iptables cuando el cortafuegos se detiene. Esta directiva acepta los siguientes valores:
    • yes — Guarda las reglas existentes para /etc/sysconfig/iptables cuando el cortafuegos se detiene, se desplaza la versión anterior a la del archivo /etc/sysconfig/iptables.save.\n
    • no — El valor predeterminado. No guarda las reglas existentes cuando se detiene el cortafuegos.
  • IPTABLES_SAVE_ON_RESTART — Guarda las reglas de cortafuegos actuales cuando se reinicia el cortafuegos. Esta directiva acepta los siguientes valores:
    • yes — Guarda las reglas existentes en /etc/sysconfig/iptables cuando se reinicia el cortafuegos, desplazando la versión anterior del archivo /etc/sysconfig/iptables.save.
    • no — El valor predeterminado. No guarda reglas cuando se reinicia el cortafuegos.
  • IPTABLES_SAVE_COUNTER — Guarda y restaura todos los paquetes y contadores de bytes en todas las cadenas y reglas. Esta directiva acepta los siguientes valores:
    • yes — Guarda los valores de contador.
    • no — Es el valor predeterminado. No guarda los valores de contador.
  • IPTABLES_STATUS_NUMERIC — Direcciones IP de salida en forma numérica en lugar de dominio o nombres de host. Esta directiva acepta los siguientes valores:
    • yes — Es el valor predeterminado. Retorna únicamente direcciones IP dentro de una salida de estatus.
    • no — Retorna el dominio o nombres de host dentro de una salida de estatus.