2.9.4. Programas de control de IPTables

Hay dos métodos básicos de controlar iptables en Fedora:

La Herramienta de configuración de cortafuegos (system-config-securitylevel) — Una interfase gráfica para crear, activar y grabar las reglas básicas del cortafuego. Consulte la Sección 2.8.2, “Configuración básica de un cortafuego” para más información.
/sbin/service iptables <opción> — Que se usa para manipular varias funciones de iptables usando su script de inicio. Las siguientes opciones están disponibles:
- start — Si el cortafuego está configurado (es decir, /etc/sysconfig/iptables existe), se detienen todos los iptables completamente y se los vuelve a iniciar con el comando /sbin/iptables-restore. Esta opción funciona solamente si el módulo de kernel ipchains no es cargado. Para chequear si este módulo está cargado, teclee el siguiente comando como root:
```
 [root@miServidor ~]# lsmod | grep ipchains 
```
  Si este comando no muestra salida, significa que no está cargado. Si es necesario, use el comando /sbin/rmmod para eliminar el módulo.
- stop — Si el cortafuego está ejecutándose, las reglas del cortafuego en la memoria son limpiadas y todos los módulos y ayudantes de iptables son descargados.
  Si la directiva IPTABLES_SAVE_ON_STOP del archivo de configuración /etc/sysconfig/iptables-config es alterada de su valor original a yes, las reglas actuales serán guardadas en /etc/sysconfig/iptables y todas las reglas existentes serán trasladadas a /etc/sysconfig/iptables.save.
  Vea en la Sección 2.9.4.1, “Archivo de Configuración de los Scripts de Control de IPTables” más información del archivo iptables-config.
- restart — Si un cortafuegos está ejecutándose, sus reglas en la memoria serán eliminadas, y el cortafuegos es iniciado nuevamente si es que está configurado en /etc/sysconfig/iptables. Esta opción solo funciona si el módulo ipchains del kernel no está cargado.
  Si la directiva IPTABLES_SAVE_ON_RESTART en el archivo de configuración /etc/sysconfig/iptables-config es alterada de su valor original a yes, las reglas actuales serán guardadas en /etc/sysconfig/iptables y cualquier otra regla existente será trasladada a /etc/sysconfig/iptables.save.
  Vea en la Sección 2.9.4.1, “Archivo de Configuración de los Scripts de Control de IPTables” más información del archivo iptables-config.
- status — Muestra el estado del cortafuego y lista todas las reglas activas
  La configuración establecida por defecto para esta opción muestra direcciones IP en cada regla. Para mostrar dominios y nombres de equipos, edite el archivo /etc/sysconfig/iptables-config y cambie el valor de IPTABLES_STATUS_NUMERIC a no. Para obtener más información acerca del archivo iptables-config, consulte la Sección 2.9.4.1, “Archivo de Configuración de los Scripts de Control de IPTables”.
- panic — Limpia todas las reglas del cortafuego. Se configura como política para todas las tablas a DROP.
  Esta opción puede ser útil si se sabe que un servidor está comprometido. En vez de desconectarlo físicamente de la red o apagarlo, puede usar esta opción para detener todo tráfico posterior, pero dejando a la computadora lista para un análisis forense.
- save — Guarda las reglas del cortafuego en /etc/sysconfig/iptables usando iptables-save. Vea en la Sección 2.9.3, “Guardando las reglas de IPTalbes” más información.

Nota

Para utilizar los mismos comandos del programa init para controlar a netfilter para IPv6, sustituya ip6tables por iptables en los comandos /sbin/service listados en esta sección. Para obtener mayor información acerca de IPv6 o netfilter, vea Sección 2.9.5, “IPTables e IPv6”.

2.9.4.1. Archivo de Configuración de los Scripts de Control de IPTables

El comportamiento de los scripts de inicio de iptables se controlan por el archivo de configuración /etc/sysconfig/iptables-config. La siguiente es una lista de las directivas contenidas en este archivo:

IPTABLES_MODULES — Especifica una lista separada por comas de los módulos iptables adicionales a cargar cuando se active el cortafuego. Estos pueden incluir el rastreo de conexión y ayudantes NAT.
IPTABLES_MODULES_UNLOAD — Descarga los módulos al reiniciar y detener. Esta directiva acepta los siguientes valores:
- yes — El valor por defecto. Esta opción debe ser puesta para conseguir un estado correcto de un reinicio o detenida de un cortafuego.
- no — Esta opción debe ser puesta sólo si hay problemas al descargar los módulos de netfilter.
IPTABLES_SAVE_ON_STOP — Guarda las reglas actuales en /etc/sysconfig/iptables cuando el cortafuego es detenido. Esta directiva acepta los siguientes valores:
- yes — Guarda las reglas existentes en /etc/sysconfig/iptables cuando se detiene el cortafuego, moviendo la versión previa al archivo /etc/sysconfig/iptables.save.
- no — El valor por defecto. No guarda las reglas existentes cuando el cortafuego es detenido.
IPTABLES_SAVE_ON_RESTART — Guarda las reglas actuales del cortafuego cuando es reiniciado. Esta directiva acepta los siguientes valores:
- yes — Guarda las reglas existentes en /etc/sysconfig/iptables cuando el cortafuego es reiniciado, moviendo la versión previa al archivo /etc/sysconfig/iptables.save.
- no — El valor predeterminado. No guarda las reglas existentes cuando se reinicia el cortafuego.
IPTABLES_SAVE_COUNTER — Guarda y restaura todos los contadores de paquetes y de bytes en todas las cadenas y reglas. Esta directiva acepta los siguientes valores:
- yes — Guarda los valores de los contadores.
- no — El valor predeterminado. No guarda los valores de los contadores.
IPTABLES_STATUS_NUMERIC — Muestra las direcciones IP en formato numérico en vez de dominios y nombres de equipo. Esta directiva acepta los siguientes valores:
- yes — El valor predeterminado. Solo devuelve la dirección IP dentro de una salida de estado.
- no — Devuelve el dominio o nombres de equipos en una salida de estado.