18.5. iptables制御スクリプト
Red Hat Enterprise Linux 稼動環境下で、iptablesを制御するための基本的な 方法が2つあります。
セキュリティレベル 設定ツール (system-config-securitylevel) — 基本的なファイアウォールの規則を作成、起動、保存するためのグラフィカルなインターフェースです。このツールの使い方についての詳細は、Red Hat Enterprise Linux システム管理ガイドにある基本的なファイアウォール設定の章を参照してください。
/sbin/service iptables <option> — iptablesの初期化スクリプトから iptablesの他機能を起動、停止、実行する root ユーザーによって 発行することができるコマンドです。 コマンド内の<option>には、 次のいずれかのディレクティブを入れます。
start — ファイアウォールが設定されると(/etc/sysconfig/iptablesが存在するという意味)、実行中のすべてのiptablesを完全に停止してから/sbin/iptables-restoreコマンドを使用して起動します。startディレクティブは、ipchainsカーネルモジュールがロードされていない場合にのみ機能します。
stop — ファイアウォールが実行中の場合、メモリ内のファイアウォールの規則がフラッシュされ、すべての iptableのモジュールとヘルパーがアンロードされます。
/etc/sysconfig/iptables-config 設定ファイル内の IPTABLES_SAVE_ON_STOP ディレクティブがそのデフォルト値から yesに変更されると、現在の規則は/etc/sysconfig/iptables に保存され既存の規則はすべて /etc/sysconfig/iptables.saveファイルに移動されます。
iptables-configファイルについての詳細は、 項18.5.1を参照してください。
restart — ファイアウォールを実行中の場合、メモリ内のファイアウォールの規則はフラッシュされ、/etc/sysconfig/iptablesに設定されていれば、ファイアウォールが再起動されます。 restart ディレクティブは、ipchainsカーネルモジュールがロードされない場合にのみ機能します。
/etc/sysconfig/iptables-config設定ファイル内の IPTABLES_SAVE_ON_RESTART ディレクティブがそのデフォルト値から yes に変更されると、現在の規則は /etc/sysconfig/iptables に保存されて既存の規則はすべて /etc/sysconfig/iptables.save ファイルに移動されます。
iptables-configファイルについての詳細は、 項18.5.1を参照してください。
status — シェルプロンプトにファイアウォールの状態とアクティブなすべての規則の一覧を表示します。ファイアウォールの規則がロードされていない、または設定されていない場合には、それを示します。
/etc/sysconfig/iptables-config 設定ファイル内で IPTABLES_STATUS_NUMERIC のデフォルト値が、no に変更されない限り、規則リストに IP アドレスを含むアクティブな規則を一覧表示します。この変更はステータス出力をドメインとホスト名の情報に戻します。iptables-configファイルについての詳細は、項18.5.1 を参照してください。
panic — ファイアウォールの規則をすべてフラッシュします。設定されているすべてのテーブルのポリシーは DROP にセットされます。
save — iptables-saveを使用して、 ファイアウォールの規則を/etc/sysconfig/iptablesに保存します。詳細は、項18.4を参照してください。
 | ヒント |
|---|---|
同じ初期化スクリプトコマンドを使用して IPv6のネットフィルタを制御するには、 このセクションに記載されている/sbin/serviceコマンドの iptables用ip6tablesを置換します。 IPv6 及びネットフィルタについての詳細は、項18.6を参照してください。 |
18.5.1. iptables 制御スクリプトの設定ファイル
iptables 初期化スクリプトの動作は、 /etc/sysconfig/iptables-config設定ファイルで制御されます。以下にこのファイル内に格納されているディレクティブの一覧を示します。
IPTABLES_MODULES — ファイアウォールが起動するときにロードする、追加 iptablesモジュールのスペースで区切られた一覧を指定します。これには接続トラッキングと NAT ヘルパーを含むませることができます。
IPTABLES_MODULES_UNLOAD — 再起動と停止でモジュールをアンロードします。このディレクティブは以下の値を受け付けます:
yes — デフォルトの値です。このオプションはファイアウォールの再起動か停止の正しい状態を達成するのにセットします。
no — このオプションはネットフィルターモジュールのアンロードに問題がある場合のみにセットするものです。
IPTABLES_SAVE_ON_STOP — ファイアウォールが停止されるときに、現在のファイアウォールの規則を /etc/sysconfig/iptables に保存します。このディレクティブは以下の値を受け付けます。
yes — ファイアウォールが停止されるときに、既存の規則を /etc/sysconfig/iptables に保存して、前のバージョンを/etc/sysconfig/iptables.save に移動します。
no — デフォルトの値です。ファイアウォールが停止されるときに既存の規則を保存しません。
IPTABLES_SAVE_ON_RESTART — ファイアウォールが再起動されるときに、現在のファイアウォール規則を保存します。 このディレクティブは次の値を受け付けます。
yes — ファイアウォールが再起動されるときに、既存の規則を/etc/sysconfig/iptablesに保存して、前のバージョンを/etc/sysconfig/iptables.saveに移動します。
no — デフォルトの値です。 ファイアウォールが再起動されるときに既存の規則を保存しません。
IPTABLES_SAVE_COUNTER — すべてのチェーン及び規則にある パケットとバイトの全カウンタを保存、復元します。 このディレクティブは以下の値を受け付けます。
yes — カウンタ値を保存します。
no — デフォルトの値です。カウンタの値を保存しません。
IPTABLES_STATUS_NUMERIC — ドメインやホスト名の代わりに、状態出力でIPアドレスを出力します。 このディレクティブは以下の値を受け付けます。
yes — デフォルト値です。ステータス出力でIPアドレスのみを返します。
no — ステータス出力でドメインかホスト名を返します。