Hay dos m�todos b�sicos para controlar iptables bajo Red Hat Enterprise Linux:
Herramienta de configuraci�n de nivel de seguridad (system-config-securitylevel) — Una interfaz gr�fica para crear, activar y guardar reglas b�sicas de cortafuegos. Para m�s informaci�n sobre como utilizar esta herramienta, consulte el cap�tulo llamado Configuraci�n b�sica del cortafuegos en el Manual de administraci�n del sistema de Red Hat Enterprise Linux.
/sbin/service iptables <opcion> — Un comando ejecutado por el usuario root capaz de activar, desactivar y llevar a cabo otras funciones de iptables a trav�s de su script de inicio. Reemplace <opcion> en el comando con alguna de las directivas siguientes:
start — Si se tiene un cortafuegos o firewall (es decir, /etc/sysconfig/iptables existe), todos los iptables en ejecuci�n son detenidos completamente y luego arrancados usando el comando /sbin/iptables-restore. La directriz start s�lo funcionar� si no se carga el m�dulo del kernel ipchains.
stop — Si el cortafuegos est� en ejecuci�n, se descartan las reglas del cortafuegos que se encuentran en memoria y todos los m�dulos iptables y ayudantes son descargados.
Si se cambia la directiva IPTABLES_SAVE_ON_STOP dentro del archivo de configuraci�n /etc/sysconfig/iptables-config de su valor por defecto a yes, se guardan las reglas actuales a /etc/sysconfig/iptables y cualquier regla existente se mover� al archivo /etc/sysconfig/iptables.save.
Para m�s informaci�n sobre el archivo de configuraci�n iptables-config, refi�rase a Secci�n 18.5.1.
restart — Si el cortafuegos est� en ejecuci�n, las reglas del mismo que se encuentran en memoria se descartan y se vuelva a iniciar el cortafuegos si est� configurado en /etc/sysconfig/iptables. La directriz restart s�lo funcionar� si no est� cargado el m�dulo del kernel ipchains.
Si la directiva IPTABLES_SAVE_ON_RESTART dentro del archivo de configuraci�n /etc/sysconfig/iptables-config se cambia de su valor por defecto a yes, las reglas actuales son guardadas a /etc/sysconfig/iptables y cualquier regla existente se mover�n al archivo /etc/sysconfig/iptables.save.
Para m�s informaci�n sobre el archivo de configuraci�n iptables-config, refi�rase a Secci�n 18.5.1.
status — Imprime el estado del cortafuegos una lista de todas las reglas activas al indicador de comandos. Si no se cargan o configuran reglas del cortafuegos, tambi�n indica este hecho.
Una lista de las reglas activas, conteniendo direcciones IP dentro de listas de reglas a menos que el valor por defecto para IPTABLES_STATUS_NUMERIC sea cambiado a no dentro del archivo de configuraci�n /etc/sysconfig/iptables-config. Consulte la Secci�n 18.5.1 para m�s informaci�n sobre el archivo iptables-config.
panic — Descarta todas las reglas del cortafuegos. La pol�tica de todas las tablas configuradas est� establecida a DROP.
save — Guarda las reglas del cortafuegos a /etc/sysconfig/iptables usando iptables-save. Para m�s informaci�n, consulte la Secci�n 18.4.
Sugerencia
Para utilizar los mismos comandos initscript para controlar el filtrado de la red para IPv6, sustituya ip6tables por iptables en los comandos /sbin/service listados en esta secci�n. Para m�s informaci�n sobre IPv6 y el filtrado de red (netfilter), consulte la Secci�n 18.6.
18.5.1. Archivo de configuraci�n de scripts de control de iptables
El comportamiento de los scripts de inicio de iptables es controlado por el archivo de configuraci�n /etc/sysconfig/iptables-config. A continuaci�n se presenta una lista de las directivas contenidas dentro de este archivo:
IPTABLES_MODULES — Especifica una lista separada por espacios de m�dulos iptables adicionales a cargar cuando se activa un cortafuegos. Esto puede incluir seguimiento de conexiones y ayudantes NAT.
IPTABLES_MODULES_UNLOAD — Limpia los m�dulos al iniciar o detenerse. Esta directiva acepta los valores siguientes:
yes — El valor por defecto. Esta regla se debe configurar para que alcance un estado correcto para el inicio o parada del cortafuegos.
no — Esta opci�n solamente deber�a ser configurada si hay problemas para limpiar los m�dulos de filtrado de paquetes de red.
IPTABLES_SAVE_ON_STOP — Guarda las reglas del cortafuegos actuales a /etc/sysconfig/iptables cuando se detiene el cortafuegos. Esta directiva acepta los valores siguientes:
yes — Guarda las reglas existentes a /etc/sysconfig/iptables cuande se detiene el cortafuegos, moviendo la versi�n anterior al archivo /etc/sysconfig/iptables.save.
no — El valor por defecto. No guarda las reglas existentes cuando se detiene el cortafuegos.
IPTABLES_SAVE_ON_RESTART — Guarda las reglas actuales del cortafuegos cuando este se reinicia. Esta directiva acepta los valores siguientes:
yes — Guarda las reglas existentes a /etc/sysconfig/iptables cuando se reinicia el cortafuegos, moviendo la versi�n anterior al archivo /etc/sysconfig/iptables.save.
no — El valor por defecto. No guarda las reglas existentes cuando se reinicia el cortafuegos.
IPTABLES_SAVE_COUNTER — Guarda y restaura todos los paquetes y contadores de bytes en todas las cadenas y reglas. Esta directiva acepta los valores siguientes:
yes — Guarda los valores del contador.
no — El valor por defecto. No guarda los valores del contador.
IPTABLES_STATUS_NUMERIC — Muestra direcciones IP en una salida de estado en vez de dominios y nombres de host. Esta directiva acepta los valores siguientes:
yes — El valor por defecto. Solamente devuelve direcciones IP dentro de una salida de estado.
no — Devuelve dominios o nombres de host en la salida de estado.