Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- iptables Kontrollskripte

18.5. iptables Kontrollskripte

Unter Red Hat Enterprise Linux gibt es zwei grundlegende Methoden iptables zu kontrollieren.

  • Security Level Configuration Tool (system-config-securitylevel) — Eine grafische Benutzeroberfl�che zum Erstellen, Aktivieren und Speichern von grundlegenden Firewall-Einstellungen. F�r weitere Informationen zur Verwendung dieses Tools, sehen Sie das Kapitel Grundlegende Firewall-Konfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration.

  • /sbin/service iptables <option> — Ein vom root-Benutzer ausgef�hrter Befehl, der iptables, �ber deren Init-Skripte, aktiviert, deaktiviert oder andere Funktionen ausf�hrt. <option> steht hierbei f�r eine der folgenden Anweisungen:

    • start — Ist eine Firewall konfiguriert (d.h. /etc/sysconfig/iptables ist vorhanden), werden alle laufenden iptables beendet und dann mit dem Befehl /sbin/iptables-restore gestartet. Die start-Anweisung arbeitet nur dann, wenn das ipchains Kernel-Modul nicht geladen ist.

    • stop — Wenn eine Firewall im Einsatz ist, werden die Firewall-Regeln im Speicher gel�scht und alle iptables-Module und Helfer beendet.

      Wenn die IPTABLES_SAVE_ON_STOP-Anweisung in der Konfigurationsdatei /etc/sysconfig/iptables-config vom Standardwert auf yes ge�ndert wird, werden die augenblicklichen Regeln unter /etc/sysconfig/iptables gespeichert und jede bestehende Regel nach /etc/sysconfig/iptables.save verschoben.

      Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.

    • restart — Sollte eine Firewall in Betrieb sein, werden die Firewall-Regeln im Speicher gel�scht und die Firewall, sollte sie in /etc/sysconfig/iptables konfiguriert sein, neu gestartet. Die restart-Anweisung wird nur dann arbeiten, wenn die ipchains Kernel-Module nicht geladen sind.

      Wenn die IPTABLES_SAVE_ON_RESTART-Anweisung der Konfigurationsdatei /etc/sysconfig/iptables-config vom Standardwert auf yes ge�ndert wird, werden die augenblicklichen Regeln unter /etc/sysconfig/iptables gespeichert und jede bestehende Regel nach /etc/sysconfig/iptables.save verschoben.

      Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.

    • status — Gibt den Status der Firewall und eine Liste der aktiven Regeln am Shell-Prompt aus. Sollten keine Firewall-Regeln geladen oder konfiguriert sein, wird dies angegeben.

      Eine Liste der aktiven Regeln, die Domain- und Hostnamen in den Regellisten enthalten, solange der Standardwert f�r IPTABLES_STATUS_NUMERIC is in der Konfigurationsdatei /etc/sysconfig/iptables-config auf no ge�ndert wird. Sehen Sie Abschnitt 18.5.1 f�r weitere Informationen zur Datei iptables-config.

    • panic — L�scht alle Firewall-Regeln. Die Policy aller konfigurierten Tabellen wird auf DROP gesetzt.

    • save — Speichert Firewall-Regeln mittels iptables-save nach /etc/sysconfig/iptables. Sehen Sie Abschnitt 18.4 f�r weitere Informationen.

TippTipp
 

Um die gleichen Initskript-Befehle zu verwenden, um den Netfilter f�r IPv6 zu kontrollieren, ersetzen Sie iptables durch ip6tables in den in diesem Abschnitt angegebenen /sbin/service Befehlen. F�r weitere Informationen zu IPv6 und Netfilter, sehen Sie Abschnitt 18.6.

18.5.1. Konfigurationsdatei der iptables Kontrollskripte

Das Verhalten des iptables-Init-Skripts wird durch die Konfigurationsdatei /etc/sysconfig/iptables-config bestimmt. Folgend ist eine Liste der in dieser Datei vorkommenden Anweisungen:

  • IPTABLES_MODULES — Gibt eine durch Leerzeichen getrennte Liste von zus�tzlichen iptables-Modulen an, die beim aktivieren einer Firewall geladen wird. Diese kann Verbindungs-Tracker und NAT Helfer enthalten.

  • IPTABLES_MODULES_UNLOAD — Entfernt Module beim Neustarten und Stoppen. Diese Anweisungen akzeptiert die folgenden Werte:

    • yes — Der Standardwert. Diese Option muss gesetzt sein, um einen richtigen Status f�r einen Firewall-Neustart oder -Stopp zu erhalten.

    • no — Diese Option sollte nur dann gesetzt sein, wenn es Probleme beim Unloading der Netfilter-Module gibt.

  • IPTABLES_SAVE_ON_STOP — Speichert die augenblicklichen Firewall-Regeln nach /etc/sysconfig/iptables, wenn die Firewall angehalten wird. Diese Anweisung akzeptiert folgende Werte:

    • yes — Speichert vorhandene Regeln nach /etc/sysconfig/iptables, wenn die Firewall angehalten wird. Die vorherige Version wird unter /etc/sysconfig/iptables.save abgelegt.

    • no — Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall angehalten wird.

  • IPTABLES_SAVE_ON_RESTART — Speichert augenblickliche Firewall-Regeln wenn die Firewall neu gestartet wird. Diese Anweisungen akzeptiert die folgenden Werte:

    • yes — Speichere bestehende Regeln nach /etc/sysconfig/iptables, wenn die Firewall neu gestartet wird. Die vorherige Version wird dabei unter /etc/sysconfig/iptables.save abgelegt.

    • no — Der Standardwert. Bestehende Regeln werden nicht gespeichert, wenn die Firewall neu gestartet wird.

  • IPTABLES_SAVE_COUNTER — Speichert und stellt alle Paket- und Byte-Z�hler in allen Chains und Regeln wieder her. Diese Anweisung akzeptiert die folgenden Werte:

    • yes — Speichert die Werte der Z�hler.

    • no — Der Standardwert. Speichert die Werte der Z�hler nicht.

  • IPTABLES_STATUS_NUMERIC — Gibt die IP-Adressen anstelle der Domain- oder Hostnamen in der Statusanzeige aus. Diese Anweisung akzeptiert die folgenden Werte:

    • yes — Der Standardwert. Gibt lediglich IP-Adressen in der Statusanzeige aus.

    • no — Gibt Domain- oder Hostnamen in der Statusanzeige aus.

 
 
  Published under the terms of the GNU General Public License Design by Interspire