Il existe deux méthodes de base pour contrôler iptables sous Red Hat Enterprise Linux :
Outil de configuration du niveau de sécurité (redhat-config-securitylevel) — une interface graphique pour créer, activer et enregistrer les règles de base de pare-feu. Pour obtenir de plus amples informations sur l'utilisation de cet outil, reportez-vous au chapitre intitulé Configuration de base d'un pare-feu dans le Guide d'administration système de Red Hat Enterprise Linux.
/sbin/service iptables <option> — une commande exécutée par le super-utilisateur capable d'activer , de désactiver et d'effectuer d'autres fonctions de iptables par le biais de son script initial (initscript). Remplacez <option> dans la commande par l'une des directives suivantes :
start — si un pare-feu est configuré (ce qui signifie que /etc/sysconfig/iptables existe), toutes les iptables en cours d'exécution seront complètement arrêtées, puis redémarrées à l'aide de la commande /sbin/iptables-restore. La directive start ne fonctionnera que si le module de noyau ipchains n'est pas chargé.
stop — si un pare-feu est en cours d'exécution, les règles de pare-feu en mémoire sont supprimées et tous les modules et les aides de iptables sont déchargés.
Si la directive IPTABLES_SAVE_ON_STOP au sein du fichier de configuration /etc/sysconfig/iptables-config passe de sa valeur par défaut à la valeur yes, les règles courantes sont enregistrées dans /etc/sysconfig/iptables et toutes les règles existantes sont déplacées dans le fichier /etc/sysconfig/iptables.save.
Reportez-vous à la Section 17.5.1 pour davantage d'informations sur le fichier iptables-config.
restart — si un pare-feu est en cours d'exécution, les règles de pare-feu en mémoire sont vidées et il est redémarré s'il est configuré dans /etc/sysconfig/iptables. La directive start ne fonctionnera que si le module de noyau ipchains n'est pas chargé.
Si la directive IPTABLES_SAVE_ON_RESTART au sein du fichier de configuration /etc/sysconfig/iptables-config passe de sa valeur par défaut à la valeur yes, les règles courantes sont enregistrées dans /etc/sysconfig/iptables et toutes les règles existantes sont déplacées dans le fichier /etc/sysconfig/iptables.save.
Reportez-vous à la Section 17.5.1 pour davantage d'informations sur le fichier iptables-config.
status — affiche à l'invite du shell le statut du pare-feu et la liste de toutes les règles activées. Si aucune règle de pare-feu n'est chargée ou configurée, cette commande l'affiche également.
Une liste des règles activées contenant les noms de domaines et d'hôtes au sein des règles est affichée à moins que la valeur par défaut pour IPTABLES_STATUS_NUMERIC devienne yes dans le fichier de configuration /etc/sysconfig/iptables-config. Reportez-vous à la Section 17.5.1 pour davantage d'informations sur le fichier iptables-config.
panic — supprime toutes les règles de pare-feu. La politique de toutes les tables configurées est définie en tant que DROP.
save — enregistre les règles de pare-feu dans /etc/sysconfig/iptables à l'aide de iptables-save. Reportez-vous à la Section 17.4 pour davantage d'informations sur l'enregistrement des règles de pare-feu.
![]() | Astuce |
---|---|
Pour utiliser les mêmes commandes initscript pour contrôler le filtrage réseau pour IPv6, remplacez ip6tables par iptables dans les commandes /sbin/service présentes dans cette section. Pour davantage d'informations sur IPv6 et le filtrage réseau, consultez la Section 17.6. |
Le comportement des scripts initiaux de iptables est contrôlé par le fichier de configuration /etc/sysconfig/iptables-config. Ci-dessous figure une liste des directives contenues dans ce fichier :
IPTABLES_MODULES — spécifie une liste de modules iptables supplémentaires séparés par des espaces devant être chargés lorsque un pare-feu est activé. Parmi ces derniers peuvent figurer les assistants de suivi des connexions et de NAT.
IPTABLES_SAVE_ON_STOP — enregistre les règles courantes du pare-feu dans /etc/sysconfig/iptables lorsque le pare-feu est arrêté. Cette directive accepte les valeurs suivantes :
yes — enregistre les règles existantes dans /etc/sysconfig/iptables lorsque le pare-feu est arrêté, déplaçant la version précédente dans /etc/sysconfig/iptables.save.
no — la valeur par défaut, n'enregistre pas les règles existantes lorsque le pare-feu est arrêté.
IPTABLES_SAVE_ON_RESTART — enregistre les règles courantes de pare-feu lorsque le pare-feu est redémarré. Cette directive accepte les valeurs suivantes :
yes — enregistre les règles existantes dans /etc/sysconfig/iptables lorsque le pare-feu est redémarré, déplaçant la version précédente dans /etc/sysconfig/iptables.save.
no — la valeur par défaut, n'enregistre pas les règles existantes lorsque le pare-feu est redémarré.
IPTABLES_SAVE_COUNTER — enregistre et restaure tous les paquets et les compteurs d'octets dans toutes les chaînes et les règles. Cette directive accepte les valeurs suivantes :
yes — enregistre les valeurs du compteur.
no — la valeur par défaut, n'enregistre pas les valeurs du compteur.
IPTABLES_STATUS_NUMERIC — affiche les adresses IP dans une sortie de statut à la place des domaines et des noms d'hôtes. Cette directive accepte les valeurs suivantes :
yes — renvoie uniquement les adresses IP dans un sortie de statut.
no — la valeur par défaut, renvoie les domaines ou les noms d'hôtes dans une sortie de statut.
Précédent | Sommaire | Suivant |
Enregistrement des règles de iptables | Niveau supérieur | ip6tables et IPv6 |