Unter Red Hat Enterprise Linux gibt es zwei grundlegende Methoden iptables zu kontrollieren.
Security Level Configuration Tool (system-config-securitylevel) — Eine grafische Benutzeroberfl�che zum Erstellen, Aktivieren und Speichern von grundlegenden Firewall-Einstellungen. F�r weitere Informationen zur Verwendung dieses Tools, sehen Sie das Kapitel Grundlegende Firewall-Konfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration.
/sbin/service iptables <option> — Ein vom root-Benutzer ausgef�hrter Befehl, der iptables, �ber deren Init-Skripte, aktiviert, deaktiviert oder andere Funktionen ausf�hrt. <option> steht hierbei f�r eine der folgenden Anweisungen:
start — Ist eine Firewall konfiguriert (d.h. /etc/sysconfig/iptables ist vorhanden), werden alle laufenden iptables beendet und dann mit dem Befehl /sbin/iptables-restore gestartet. Die start-Anweisung arbeitet nur dann, wenn das ipchains Kernel-Modul nicht geladen ist.
stop — Wenn eine Firewall im Einsatz ist, werden die Firewall-Regeln im Speicher gel�scht und alle iptables-Module und Helfer beendet.
Wenn die IPTABLES_SAVE_ON_STOP-Anweisung in der Konfigurationsdatei /etc/sysconfig/iptables-config vom Standardwert auf yes ge�ndert wird, werden die augenblicklichen Regeln unter /etc/sysconfig/iptables gespeichert und jede bestehende Regel nach /etc/sysconfig/iptables.save verschoben.
Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.
restart — Sollte eine Firewall in Betrieb sein, werden die Firewall-Regeln im Speicher gel�scht und die Firewall, sollte sie in /etc/sysconfig/iptables konfiguriert sein, neu gestartet. Die restart-Anweisung wird nur dann arbeiten, wenn die ipchains Kernel-Module nicht geladen sind.
Wenn die IPTABLES_SAVE_ON_RESTART-Anweisung der Konfigurationsdatei /etc/sysconfig/iptables-config vom Standardwert auf yes ge�ndert wird, werden die augenblicklichen Regeln unter /etc/sysconfig/iptables gespeichert und jede bestehende Regel nach /etc/sysconfig/iptables.save verschoben.
Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.
status — Gibt den Status der Firewall und eine Liste der aktiven Regeln am Shell-Prompt aus. Sollten keine Firewall-Regeln geladen oder konfiguriert sein, wird dies angegeben.
Eine Liste der aktiven Regeln, die Domain- und Hostnamen in den Regellisten enthalten, solange der Standardwert f�r IPTABLES_STATUS_NUMERIC is in der Konfigurationsdatei /etc/sysconfig/iptables-config auf no ge�ndert wird. Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.
panic — L�scht alle Firewall-Regeln. Die Policy aller konfigurierten Tabellen wird auf DROP gesetzt.
save — Speichert Firewall-Regeln mittels iptables-save nach /etc/sysconfig/iptables. Sehen Sie Abschnitt 18.4 f�r weitere Informationen.
Tipp
Um die gleichen Initskript-Befehle zu verwenden, um den Netfilter f�r IPv6 zu kontrollieren, ersetzen Sie iptables durch ip6tables in den in diesem Abschnitt angegebenen /sbin/service Befehlen. F�r weitere Informationen zu IPv6 und Netfilter, sehen Sie Abschnitt 18.6.
18.5.1. Konfigurationsdatei der iptables Kontrollskripte
Das Verhalten des iptables-Init-Skripts wird durch die Konfigurationsdatei /etc/sysconfig/iptables-config bestimmt. Folgend ist eine Liste der in dieser Datei vorkommenden Anweisungen:
IPTABLES_MODULES — Gibt eine durch Leerzeichen getrennte Liste von zus�tzlichen iptables-Modulen an, die beim aktivieren einer Firewall geladen wird. Diese kann Verbindungs-Tracker und NAT Helfer enthalten.
IPTABLES_MODULES_UNLOAD — Entfernt Module beim Neustarten und Stoppen. Diese Anweisungen akzeptiert die folgenden Werte:
yes — Der Standardwert. Diese Option muss gesetzt sein, um einen richtigen Status f�r einen Firewall-Neustart oder -Stopp zu erhalten.
no — Diese Option sollte nur dann gesetzt sein, wenn es Probleme beim Unloading der Netfilter-Module gibt.
IPTABLES_SAVE_ON_STOP — Speichert die augenblicklichen Firewall-Regeln nach /etc/sysconfig/iptables, wenn die Firewall angehalten wird. Diese Anweisung akzeptiert folgende Werte:
yes — Speichert vorhandene Regeln nach /etc/sysconfig/iptables, wenn die Firewall angehalten wird. Die vorherige Version wird unter /etc/sysconfig/iptables.save abgelegt.
no — Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall angehalten wird.
IPTABLES_SAVE_ON_RESTART — Speichert augenblickliche Firewall-Regeln wenn die Firewall neu gestartet wird. Diese Anweisungen akzeptiert die folgenden Werte:
yes — Speichere bestehende Regeln nach /etc/sysconfig/iptables, wenn die Firewall neu gestartet wird. Die vorherige Version wird dabei unter /etc/sysconfig/iptables.save abgelegt.
no — Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall neu gestartet wird.
IPTABLES_SAVE_COUNTER — Speichert und stellt alle Paket- und Byte-Z�hler in allen Chains und Regeln wieder her. Diese Anweisung akzeptiert die folgenden Werte:
yes — Speichert die Werte der Z�hler.
no — Der Standardwert. Speichert die Werte der Z�hler nicht.
IPTABLES_STATUS_NUMERIC — Gibt die IP-Adressen anstelle der Domain- oder Hostnamen in der Statusanzeige aus. Diese Anweisung akzeptiert die folgenden Werte:
yes — Der Standardwert. Gibt lediglich IP-Adressen in der Statusanzeige aus.
no — Gibt Domain- oder Hostnamen in der Statusanzeige aus.