Red Hat Enterprise Linux 稼動環境下で、iptablesを制御するための基本的な 方法が2つあります。
セキュリティレベル 設定ツール (redhat-config-securitylevel) — 基本的なファイアウォールの規則を作成、 起動、保存するためのグラフィカルなインターフェースです。 このツールの使い方についての詳細は、Red Hat Enterprise Linux システム管理ガイドにある 基本的なファイアウォール設定の章を参照してください。
/sbin/service iptables <option> — iptablesの初期化スクリプトから iptablesの他機能を起動、停止、実行する root ユーザーによって 発行することができるコマンドです。 コマンド内の<option>には、 次のいずれかのディレクティブを入れます。
start — ファイアウォールが設定されると (/etc/sysconfig/iptablesが存在するという意味)、 実行中のすべてのiptablesを完全に停止してから /sbin/iptables-restoreコマンドを使用して起動します。 startディレクティブは、ipchains カーネルモジュールがロードされていない場合にのみ機能します。
stop — ファイアウォールが実行中の場合、 メモリ内のファイアウォールの規則がフラッシュされ、すべてのiptableのモジュールと ヘルパーがアンロードされます。
/etc/sysconfig/iptables-config設定ファイル内の IPTABLES_SAVE_ON_STOPディレクティブがそのデフォルト値から yesに変更されると、現在の規則は/etc/sysconfig/iptablesに保存され既存の規則はすべて /etc/sysconfig/iptables.saveファイルに移動されます。
iptables-configファイルについての詳細は、 項17.5.1を参照してください。
restart — ファイアウォールを実行中の場合、 メモリ内のファイアウォールの規則はフラッシュされ、 /etc/sysconfig/iptablesに設定されていれば、 ファイアウォールが再起動されます。 restartディレクティブは、ipchains カーネルモジュールがロードされない場合にのみ機能します。
/etc/sysconfig/iptables-config設定ファイル内の IPTABLES_SAVE_ON_RESTARTディレクティブがそのデフォルト値から yesに変更されると、現在の規則は/etc/sysconfig/iptablesに保存されて既存の規則はすべて /etc/sysconfig/iptables.saveファイルに移動されます。
iptables-configファイルについての詳細は、 項17.5.1を参照してください。
status — シェルプロンプトにファイアウォールの状態と アクティブなすべての規則の一覧を表示します。 ファイアウォールの規則がロードされていない、または設定されていない場合には、 それを示します。
/etc/sysconfig/iptables-config設定ファイル内で IPTABLES_STATUS_NUMERICのデフォルト値が、yesに変更されない限り、規則内にドメインやホスト名を含むアクティブな規則の一覧を表示します。 iptables-configファイルについての詳細は、 項17.5.1を参照してください。
panic — ファイアウォールの規則をすべてフラッシュします。 設定されているすべてのテーブルのポリシーはDROPにセットされます。
save — iptables-saveを使用して、 ファイアウォールの規則を/etc/sysconfig/iptablesに 保存します。ファイアウォールの規則の保存に関する詳細は、 項17.4を参照してください。
![]() | ヒント |
---|---|
同じ初期化スクリプトコマンドを使用してIPv6のネットフィルタを制御するには、 このセクションに記載されている/sbin/serviceコマンドの iptables用ip6tablesを置換します。 IPv6 及びネットフィルタについての詳細は、項17.6を参照してください。 |
iptables初期化スクリプトの動作は、 /etc/sysconfig/iptables-config設定ファイルで制御されます。 以下にこのファイル内に格納されているディレクティブの一覧を示します。
IPTABLES_MODULES — ファイアウォールが起動するときに ロードする、追加iptablesモジュールのスペースで区切られた一覧 を指定します。これには接続トラッキングとNATヘルパーを含むませることができます。
IPTABLES_SAVE_ON_STOP — ファイアウォールが停止されるときに、 現在のファイアウォールの規則を/etc/sysconfig/iptablesに 保存します。このディレクティブは以下の値を受け付けます。
yes — ファイアウォールが停止されるときに、 既存の規則を/etc/sysconfig/iptablesに保存して、 前のバージョンを/etc/sysconfig/iptables.saveに 移動します。
no — デフォルトの値です。 ファイアウォールが停止されるときに既存の規則を保存しません。
IPTABLES_SAVE_ON_RESTART — ファイアウォールが再起動されるときに、現在のファイアウォール規則を保存します。 このディレクティブは次の値を受け付けます。
yes — ファイアウォールが再起動されるときに、 既存の規則を/etc/sysconfig/iptablesに保存して、 前のバージョンを/etc/sysconfig/iptables.saveに 移動します。
no — デフォルトの値です。 ファイアウォールが再起動されるときに既存の規則を保存しません。
IPTABLES_SAVE_COUNTER — すべてのチェーン及び規則にある パケットとバイトの全カウンタを保存、復元します。 このディレクティブは以下の値を受け付けます。
yes — カウンタ値を保存します。
no — デフォルトの値です。カウンタの値を保存しません。
IPTABLES_STATUS_NUMERIC — ドメインやホスト名の代わりに、状態出力でIPアドレスを出力します。 このディレクティブは以下の値を受け付けます。
yes — 状態出力内でIPアドレスのみを返します。
no — デフォルトの値です。 状態出力内でドメインかホスト名を返します。