18.5. Scripts de contrôle d'iptables
Il existe deux méthodes élémentaires pour contrôler iptables sous Red Hat Enterprise Linux, à savoir :
Outil de configuration du niveau de sécurité (system-config-securitylevel) — Une interface graphique pour créer, activer et enregistrer les règles de base de pare-feu. Pour obtenir de plus amples informations sur l'utilisation de cet outil, reportez-vous au chapitre intitulé Configuration de base d'un pare-feu du Guide d'administration système de Red Hat Enterprise Linux.
/sbin/service iptables <option> — Une commande exécutée par le super-utilisateur capable d'activer, de désactiver et d'effectuer d'autres fonctions de iptables par le biais de son script d'initialisation (initscript). Remplacez <option> dans la commande par l'une des directives suivantes :
start — Si un pare-feu est configuré (ce qui signifie que /etc/sysconfig/iptables existe), toutes les iptables en cours d'exécution seront complètement arrêtées, puis redémarrées à l'aide de la commande /sbin/iptables-restore. La directive start ne fonctionne que si le module de noyau ipchains n'est pas chargé.
stop — Si un pare-feu est en cours d'exécution, les règles de pare-feu en mémoire sont supprimées et tous les modules et les aides d'iptables sont déchargés.
Si la directive IPTABLES_SAVE_ON_STOP au sein du fichier de configuration /etc/sysconfig/iptables-config passe de sa valeur par défaut à la valeur yes, les règles courantes sont enregistrées dans /etc/sysconfig/iptables et toutes les règles existantes sont déplacées vers le fichier /etc/sysconfig/iptables.save.
Reportez-vous à la Section 18.5.1 pour obtenir davantage d'informations sur le fichier iptables-config.
restart — Si un pare-feu est en cours d'exécution, les règles de pare-feu en mémoire sont vidées et le pare-feu est redémarré s'il est configuré dans /etc/sysconfig/iptables. La directive restart ne fonctionne que si le module de noyau ipchains n'est pas chargé.
Si la directive IPTABLES_SAVE_ON_RESTART au sein du fichier de configuration /etc/sysconfig/iptables-config passe de sa valeur par défaut à la valeur yes, les règles courantes sont enregistrées dans /etc/sysconfig/iptables et toutes les règles existantes sont déplacées vers le fichier /etc/sysconfig/iptables.save.
Reportez-vous à la Section 18.5.1 pour obtenir davantage d'informations sur le fichier iptables-config.
status — Affiche à l'invite du shell le statut du pare-feu et la liste de toutes les règles activées. Si aucune règle de pare-feu n'est chargée ou configurée, cette commande l'indique.
Une liste des règles actives contenant des adresses IP au sein des listes de règles est donnée, à moins que la valeur par défaut de IPTABLES_STATUS_NUMERIC ne soit modifiée pour la valeur no dans le fichier de configuration /etc/sysconfig/iptables-config. Cette modification fait revenir la sortie de statut à des informations sur le domaine et sur l'hôte. Reportez-vous à la Section 18.5.1 pour davantage d'informations sur le fichier iptables-config.
panic — Supprime toutes les règles de pare-feu. La politique de toutes les tables configurées est définie en tant que DROP.
save — Enregistre les règles de pare-feu dans /etc/sysconfig/iptables à l'aide de iptables-save. Reportez-vous à la Section 18.4 pour obtenir davantage d'informations sur le sujet.
 | Astuce |
|---|---|
Il est possible d'utiliser les mêmes commandes initscript pour contrôler netfilter pour IPv6 en remplaçant ip6tables par iptables dans les commandes /sbin/service présentes dans cette section. Pour obtenir davantage d'informations sur IPv6 et sur le filtrage réseau, consultez la Section 18.6. |
18.5.1. Fichier de configuration des scripts de contrôle de iptables
Le comportement des scripts d'initialisation d'iptables est contrôlé par le fichier de configuration /etc/sysconfig/iptables-config. Ci-dessous figure une liste des directives contenues dans ce fichier :
IPTABLES_MODULES — Spécifie une liste de modules iptables supplémentaires (séparés les uns des autres par des espaces) qui doivent être chargés lorsqu'un pare-feu est activé. Parmi ces derniers peuvent figurer les assistants du suivi des connexions et de NAT.
IPTABLES_MODULES_UNLOAD — Décharge les modules à l'arrêt et au démarrage. Cette directive accepte les valeurs suivantes :
yes — Cette option doit être définie pour qu'un pare-feu puisse redémarrer ou s'arrêter correctement. Cette valeur est retenue comme défaut.
no — Cette option ne devrait être définie que s'il existe des problèmes lors du déchargement des modules netfilter.
IPTABLES_SAVE_ON_STOP — Enregistre les règles courantes du pare-feu dans /etc/sysconfig/iptables lorsque le pare-feu est arrêté. Cette directive accepte les valeurs suivantes :
yes — Enregistre les règles existantes dans /etc/sysconfig/iptables lorsque le pare-feu est arrêté et déplace la version précédente vers /etc/sysconfig/iptables.save.
no — N'enregistre pas les règles existantes lorsque le pare-feu est arrêté. Cette valeur est retenue comme défaut.
IPTABLES_SAVE_ON_RESTART — Enregistre les règles courantes de pare-feu lorsque le pare-feu est redémarré. Cette directive accepte les valeurs suivantes :
yes — Enregistre les règles existantes dans /etc/sysconfig/iptables lorsque le pare-feu est redémarré et déplace la version précédente vers /etc/sysconfig/iptables.save.
no — N'enregistre pas les règles existantes lorsque le pare-feu est redémarré. Cette valeur est retenue comme défaut.
IPTABLES_SAVE_COUNTER — Enregistre et restaure tous les paquets et les compteurs d'octets dans toutes les chaînes et règles. Cette directive accepte les valeurs suivantes :
yes — Enregistre les valeurs du compteur.
no — N'enregistre pas les valeurs du compteur. Cette valeur est retenue comme défaut.
IPTABLES_STATUS_NUMERIC — Affiche une sortie de statut pour les adresses IP à la place du domaine et des noms d'hôtes. Cette directive accepte les valeurs suivantes :
yes — Renvoie uniquement les adresses IP avec une sortie de statut. Cette valeur est retenue comme défaut
no — Renvoie le domaine ou les noms d'hôtes dans une sortie de statut.