NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux 4: Manual de referencia - Scripts de control de iptables
Hay dos m�todos b�sicos para controlar iptables bajo Red Hat Enterprise Linux:
Herramienta de configuraci�n de nivel de seguridad (system-config-securitylevel) — Una interfaz gr�fica para crear, activar y guardar reglas b�sicas de cortafuegos. Para m�s informaci�n sobre como utilizar esta herramienta, consulte el cap�tulo llamado Configuraci�n b�sica del cortafuegos en el Manual de administraci�n del sistema de Red Hat Enterprise Linux.
/sbin/service iptables <opcion> — Un comando ejecutado por el usuario root capaz de activar, desactivar y llevar a cabo otras funciones de iptables a trav�s de su script de inicio. Reemplace <opcion> en el comando con alguna de las directivas siguientes:
start — Si se tiene un cortafuegos o firewall (es decir, /etc/sysconfig/iptables existe), todos los iptables en ejecuci�n son detenidos completamente y luego arrancados usando el comando /sbin/iptables-restore. La directriz start s�lo funcionar� si no se carga el m�dulo del kernel ipchains.
stop — Si el cortafuegos est� en ejecuci�n, se descartan las reglas del cortafuegos que se encuentran en memoria y todos los m�dulos iptables y ayudantes son descargados.
Si se cambia la directiva IPTABLES_SAVE_ON_STOP dentro del archivo de configuraci�n /etc/sysconfig/iptables-config de su valor por defecto a yes, se guardan las reglas actuales a /etc/sysconfig/iptables y cualquier regla existente se mover� al archivo /etc/sysconfig/iptables.save.
Para m�s informaci�n sobre el archivo de configuraci�n iptables-config, refi�rase a Secci�n 18.5.1.
restart — Si el cortafuegos est� en ejecuci�n, las reglas del mismo que se encuentran en memoria se descartan y se vuelva a iniciar el cortafuegos si est� configurado en /etc/sysconfig/iptables. La directriz restart s�lo funcionar� si no est� cargado el m�dulo del kernel ipchains.
Si la directiva IPTABLES_SAVE_ON_RESTART dentro del archivo de configuraci�n /etc/sysconfig/iptables-config se cambia de su valor por defecto a yes, las reglas actuales son guardadas a /etc/sysconfig/iptables y cualquier regla existente se mover�n al archivo /etc/sysconfig/iptables.save.
Para m�s informaci�n sobre el archivo de configuraci�n iptables-config, refi�rase a Secci�n 18.5.1.
status — Imprime el estado del cortafuegos una lista de todas las reglas activas al indicador de comandos. Si no se cargan o configuran reglas del cortafuegos, tambi�n indica este hecho.
Una lista de las reglas activas, conteniendo direcciones IP dentro de listas de reglas a menos que el valor por defecto para IPTABLES_STATUS_NUMERIC sea cambiado a no dentro del archivo de configuraci�n /etc/sysconfig/iptables-config. Consulte la Secci�n 18.5.1 para m�s informaci�n sobre el archivo iptables-config.
panic — Descarta todas las reglas del cortafuegos. La pol�tica de todas las tablas configuradas est� establecida a DROP.
save — Guarda las reglas del cortafuegos a /etc/sysconfig/iptables usando iptables-save. Para m�s informaci�n, consulte la Secci�n 18.4.
Sugerencia
Para utilizar los mismos comandos initscript para controlar el filtrado de la red para IPv6, sustituya ip6tables por iptables en los comandos /sbin/service listados en esta secci�n. Para m�s informaci�n sobre IPv6 y el filtrado de red (netfilter), consulte la Secci�n 18.6.
18.5.1. Archivo de configuraci�n de scripts de control de iptables
El comportamiento de los scripts de inicio de iptables es controlado por el archivo de configuraci�n /etc/sysconfig/iptables-config. A continuaci�n se presenta una lista de las directivas contenidas dentro de este archivo:
IPTABLES_MODULES — Especifica una lista separada por espacios de m�dulos iptables adicionales a cargar cuando se activa un cortafuegos. Esto puede incluir seguimiento de conexiones y ayudantes NAT.
IPTABLES_MODULES_UNLOAD — Limpia los m�dulos al iniciar o detenerse. Esta directiva acepta los valores siguientes:
yes — El valor por defecto. Esta regla se debe configurar para que alcance un estado correcto para el inicio o parada del cortafuegos.
no — Esta opci�n solamente deber�a ser configurada si hay problemas para limpiar los m�dulos de filtrado de paquetes de red.
IPTABLES_SAVE_ON_STOP — Guarda las reglas del cortafuegos actuales a /etc/sysconfig/iptables cuando se detiene el cortafuegos. Esta directiva acepta los valores siguientes:
yes — Guarda las reglas existentes a /etc/sysconfig/iptables cuande se detiene el cortafuegos, moviendo la versi�n anterior al archivo /etc/sysconfig/iptables.save.
no — El valor por defecto. No guarda las reglas existentes cuando se detiene el cortafuegos.
IPTABLES_SAVE_ON_RESTART — Guarda las reglas actuales del cortafuegos cuando este se reinicia. Esta directiva acepta los valores siguientes:
yes — Guarda las reglas existentes a /etc/sysconfig/iptables cuando se reinicia el cortafuegos, moviendo la versi�n anterior al archivo /etc/sysconfig/iptables.save.
no — El valor por defecto. No guarda las reglas existentes cuando se reinicia el cortafuegos.
IPTABLES_SAVE_COUNTER — Guarda y restaura todos los paquetes y contadores de bytes en todas las cadenas y reglas. Esta directiva acepta los valores siguientes:
yes — Guarda los valores del contador.
no — El valor por defecto. No guarda los valores del contador.
IPTABLES_STATUS_NUMERIC — Muestra direcciones IP en una salida de estado en vez de dominios y nombres de host. Esta directiva acepta los valores siguientes:
yes — El valor por defecto. Solamente devuelve direcciones IP dentro de una salida de estado.
no — Devuelve dominios o nombres de host en la salida de estado.
