Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - CentOS Enterprise Linux Guide de reference - Scripts de contr�le d'iptables

18.5. Scripts de contr�le d'iptables

Il existe deux m�thodes �l�mentaires pour contr�ler iptables sous Red Hat Enterprise Linux, � savoir�:

  • Outil de configuration du niveau de s�curit� (system-config-securitylevel) — Une interface graphique pour cr�er, activer et enregistrer les r�gles de base de pare-feu. Pour obtenir de plus amples informations sur l'utilisation de cet outil, reportez-vous au chapitre intitul� Configuration de base d'un pare-feu du Guide d'administration syst�me de Red Hat Enterprise Linux.

  • /sbin/service iptables <option> — Une commande ex�cut�e par le super-utilisateur capable d'activer, de d�sactiver et d'effectuer d'autres fonctions de iptables par le biais de son script d'initialisation (initscript). Remplacez <option> dans la commande par l'une des directives suivantes�:

    • start — Si un pare-feu est configur� (ce qui signifie que /etc/sysconfig/iptables existe), toutes les iptables en cours d'ex�cution seront compl�tement arr�t�es, puis red�marr�es � l'aide de la commande /sbin/iptables-restore. La directive start ne fonctionne que si le module de noyau ipchains n'est pas charg�.

    • stop — Si un pare-feu est en cours d'ex�cution, les r�gles de pare-feu en m�moire sont supprim�es et tous les modules et les aides d'iptables sont d�charg�s.

      Si la directive IPTABLES_SAVE_ON_STOP au sein du fichier de configuration /etc/sysconfig/iptables-config passe de sa valeur par d�faut � la valeur yes, les r�gles courantes sont enregistr�es dans /etc/sysconfig/iptables et toutes les r�gles existantes sont d�plac�es vers le fichier /etc/sysconfig/iptables.save.

      Reportez-vous � la Section 18.5.1 pour obtenir davantage d'informations sur le fichier iptables-config.

    • restart — Si un pare-feu est en cours d'ex�cution, les r�gles de pare-feu en m�moire sont vid�es et le pare-feu est red�marr� s'il est configur� dans /etc/sysconfig/iptables. La directive restart ne fonctionne que si le module de noyau ipchains n'est pas charg�.

      Si la directive IPTABLES_SAVE_ON_RESTART au sein du fichier de configuration /etc/sysconfig/iptables-config passe de sa valeur par d�faut � la valeur yes, les r�gles courantes sont enregistr�es dans /etc/sysconfig/iptables et toutes les r�gles existantes sont d�plac�es vers le fichier /etc/sysconfig/iptables.save.

      Reportez-vous � la Section 18.5.1 pour obtenir davantage d'informations sur le fichier iptables-config.

    • status — Affiche � l'invite du shell le statut du pare-feu et la liste de toutes les r�gles activ�es. Si aucune r�gle de pare-feu n'est charg�e ou configur�e, cette commande l'indique.

      Une liste des r�gles actives contenant des adresses IP au sein des listes de r�gles est donn�e, � moins que la valeur par d�faut de IPTABLES_STATUS_NUMERIC ne soit modifi�e pour la valeur no dans le fichier de configuration /etc/sysconfig/iptables-config. Cette modification fait revenir la sortie de statut � des informations sur le domaine et sur l'h�te. Reportez-vous � la Section 18.5.1 pour davantage d'informations sur le fichier iptables-config.

    • panic — Supprime toutes les r�gles de pare-feu. La politique de toutes les tables configur�es est d�finie en tant que DROP.

    • save — Enregistre les r�gles de pare-feu dans /etc/sysconfig/iptables � l'aide de iptables-save. Reportez-vous � la Section 18.4 pour obtenir davantage d'informations sur le sujet.

TuyauAstuce
 

Il est possible d'utiliser les m�mes commandes initscript pour contr�ler netfilter pour IPv6 en rempla�ant ip6tables par iptables dans les commandes /sbin/service pr�sentes dans cette section. Pour obtenir davantage d'informations sur IPv6 et sur le filtrage r�seau, consultez la Section 18.6.

18.5.1. Fichier de configuration des scripts de contr�le de iptables

Le comportement des scripts d'initialisation d'iptables est contr�l� par le fichier de configuration /etc/sysconfig/iptables-config. Ci-dessous figure une liste des directives contenues dans ce fichier�:

  • IPTABLES_MODULES — Sp�cifie une liste de modules iptables suppl�mentaires (s�par�s les uns des autres par des espaces) qui doivent �tre charg�s lorsqu'un pare-feu est activ�. Parmi ces derniers peuvent figurer les assistants du suivi des connexions et de NAT.

  • IPTABLES_MODULES_UNLOAD — D�charge les modules � l'arr�t et au d�marrage. Cette directive accepte les valeurs suivantes�:

    • yes — Cette option doit �tre d�finie pour qu'un pare-feu puisse red�marrer ou s'arr�ter correctement. Cette valeur est retenue comme d�faut.

    • no — Cette option ne devrait �tre d�finie que s'il existe des probl�mes lors du d�chargement des modules netfilter.

  • IPTABLES_SAVE_ON_STOP — Enregistre les r�gles courantes du pare-feu dans /etc/sysconfig/iptables lorsque le pare-feu est arr�t�. Cette directive accepte les valeurs suivantes�:

    • yes — Enregistre les r�gles existantes dans /etc/sysconfig/iptables lorsque le pare-feu est arr�t� et d�place la version pr�c�dente vers /etc/sysconfig/iptables.save.

    • no — N'enregistre pas les r�gles existantes lorsque le pare-feu est arr�t�. Cette valeur est retenue comme d�faut.

  • IPTABLES_SAVE_ON_RESTART — Enregistre les r�gles courantes de pare-feu lorsque le pare-feu est red�marr�. Cette directive accepte les valeurs suivantes�:

    • yes — Enregistre les r�gles existantes dans /etc/sysconfig/iptables lorsque le pare-feu est red�marr� et d�place la version pr�c�dente vers /etc/sysconfig/iptables.save.

    • no — N'enregistre pas les r�gles existantes lorsque le pare-feu est red�marr�. Cette valeur est retenue comme d�faut.

  • IPTABLES_SAVE_COUNTER — Enregistre et restaure tous les paquets et les compteurs d'octets dans toutes les cha�nes et r�gles. Cette directive accepte les valeurs suivantes�:

    • yes — Enregistre les valeurs du compteur.

    • no — N'enregistre pas les valeurs du compteur. Cette valeur est retenue comme d�faut.

  • IPTABLES_STATUS_NUMERIC — Affiche une sortie de statut pour les adresses IP � la place du domaine et des noms d'h�tes. Cette directive accepte les valeurs suivantes�:

    • yes — Renvoie uniquement les adresses IP avec une sortie de statut. Cette valeur est retenue comme d�faut

    • no — Renvoie le domaine ou les noms d'h�tes dans une sortie de statut.

 
 
  Published under the terms of the GNU General Public License Design by Interspire