NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- iptables Kontrollskripte
Unter Red Hat Enterprise Linux gibt es zwei grundlegende Methoden iptables zu kontrollieren.
Security Level Configuration Tool (system-config-securitylevel) — Eine grafische Benutzeroberfl�che zum Erstellen, Aktivieren und Speichern von grundlegenden Firewall-Einstellungen. F�r weitere Informationen zur Verwendung dieses Tools, sehen Sie das Kapitel Grundlegende Firewall-Konfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration.
/sbin/service iptables <option> — Ein vom root-Benutzer ausgef�hrter Befehl, der iptables, �ber deren Init-Skripte, aktiviert, deaktiviert oder andere Funktionen ausf�hrt. <option> steht hierbei f�r eine der folgenden Anweisungen:
start — Ist eine Firewall konfiguriert (d.h. /etc/sysconfig/iptables ist vorhanden), werden alle laufenden iptables beendet und dann mit dem Befehl /sbin/iptables-restore gestartet. Die start-Anweisung arbeitet nur dann, wenn das ipchains Kernel-Modul nicht geladen ist.
stop — Wenn eine Firewall im Einsatz ist, werden die Firewall-Regeln im Speicher gel�scht und alle iptables-Module und Helfer beendet.
Wenn die IPTABLES_SAVE_ON_STOP-Anweisung in der Konfigurationsdatei /etc/sysconfig/iptables-config vom Standardwert auf yes ge�ndert wird, werden die augenblicklichen Regeln unter /etc/sysconfig/iptables gespeichert und jede bestehende Regel nach /etc/sysconfig/iptables.save verschoben.
Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.
restart — Sollte eine Firewall in Betrieb sein, werden die Firewall-Regeln im Speicher gel�scht und die Firewall, sollte sie in /etc/sysconfig/iptables konfiguriert sein, neu gestartet. Die restart-Anweisung wird nur dann arbeiten, wenn die ipchains Kernel-Module nicht geladen sind.
Wenn die IPTABLES_SAVE_ON_RESTART-Anweisung der Konfigurationsdatei /etc/sysconfig/iptables-config vom Standardwert auf yes ge�ndert wird, werden die augenblicklichen Regeln unter /etc/sysconfig/iptables gespeichert und jede bestehende Regel nach /etc/sysconfig/iptables.save verschoben.
Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.
status — Gibt den Status der Firewall und eine Liste der aktiven Regeln am Shell-Prompt aus. Sollten keine Firewall-Regeln geladen oder konfiguriert sein, wird dies angegeben.
Eine Liste der aktiven Regeln, die Domain- und Hostnamen in den Regellisten enthalten, solange der Standardwert f�r IPTABLES_STATUS_NUMERIC is in der Konfigurationsdatei /etc/sysconfig/iptables-config auf no ge�ndert wird. Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.
panic — L�scht alle Firewall-Regeln. Die Policy aller konfigurierten Tabellen wird auf DROP gesetzt.
save — Speichert Firewall-Regeln mittels iptables-save nach /etc/sysconfig/iptables. Sehen Sie Abschnitt 18.4 f�r weitere Informationen.
Tipp
Um die gleichen Initskript-Befehle zu verwenden, um den Netfilter f�r IPv6 zu kontrollieren, ersetzen Sie iptables durch ip6tables in den in diesem Abschnitt angegebenen /sbin/service Befehlen. F�r weitere Informationen zu IPv6 und Netfilter, sehen Sie Abschnitt 18.6.
18.5.1. Konfigurationsdatei der iptables Kontrollskripte
Das Verhalten des iptables-Init-Skripts wird durch die Konfigurationsdatei /etc/sysconfig/iptables-config bestimmt. Folgend ist eine Liste der in dieser Datei vorkommenden Anweisungen:
IPTABLES_MODULES — Gibt eine durch Leerzeichen getrennte Liste von zus�tzlichen iptables-Modulen an, die beim aktivieren einer Firewall geladen wird. Diese kann Verbindungs-Tracker und NAT Helfer enthalten.
IPTABLES_MODULES_UNLOAD — Entfernt Module beim Neustarten und Stoppen. Diese Anweisungen akzeptiert die folgenden Werte:
yes — Der Standardwert. Diese Option muss gesetzt sein, um einen richtigen Status f�r einen Firewall-Neustart oder -Stopp zu erhalten.
no — Diese Option sollte nur dann gesetzt sein, wenn es Probleme beim Unloading der Netfilter-Module gibt.
IPTABLES_SAVE_ON_STOP — Speichert die augenblicklichen Firewall-Regeln nach /etc/sysconfig/iptables, wenn die Firewall angehalten wird. Diese Anweisung akzeptiert folgende Werte:
yes — Speichert vorhandene Regeln nach /etc/sysconfig/iptables, wenn die Firewall angehalten wird. Die vorherige Version wird unter /etc/sysconfig/iptables.save abgelegt.
no — Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall angehalten wird.
IPTABLES_SAVE_ON_RESTART — Speichert augenblickliche Firewall-Regeln wenn die Firewall neu gestartet wird. Diese Anweisungen akzeptiert die folgenden Werte:
yes — Speichere bestehende Regeln nach /etc/sysconfig/iptables, wenn die Firewall neu gestartet wird. Die vorherige Version wird dabei unter /etc/sysconfig/iptables.save abgelegt.
no — Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall neu gestartet wird.
IPTABLES_SAVE_COUNTER — Speichert und stellt alle Paket- und Byte-Z�hler in allen Chains und Regeln wieder her. Diese Anweisung akzeptiert die folgenden Werte:
yes — Speichert die Werte der Z�hler.
no — Der Standardwert. Speichert die Werte der Z�hler nicht.
IPTABLES_STATUS_NUMERIC — Gibt die IP-Adressen anstelle der Domain- oder Hostnamen in der Statusanzeige aus. Diese Anweisung akzeptiert die folgenden Werte:
yes — Der Standardwert. Gibt lediglich IP-Adressen in der Statusanzeige aus.
no — Gibt Domain- oder Hostnamen in der Statusanzeige aus.
