Qual é a maneira correta de carregar módulos para iptables no Centos 6

Onde devo carregar os módulos iptables, por exemplo, ip_conntrack e ip_conntrack_ftp.

Lugares que encontrei que podem ser candidatos, mas são?

• A variável IPTABLES_MODULES em /etc/init.d/iptables
• Em /etc/modprobe.conf
• Em /etc/modprobe.d/xxxx.conf

Nenhum deles.

/etc/rc.d/rc.sysinit procurando dois locais para carregar módulos:

# Load other user-defined modules
for file in /etc/sysconfig/modules/*.modules ; do
  [ -x $file ] && $file
done

# Load modules (for backward compatibility with VARs)
if [ -f /etc/rc.modules ]; then
        /etc/rc.modules
fi

Portanto, você deve colocar o comando loading em /etc/sysconfig/modules/*.modulesou /etc/rc.modules:

# echo "modprobe ip_conntrack" >> /etc/sysconfig/modules/iptables.modules
# chmod +x /etc/sysconfig/modules/iptables.modules

Para o iptables no CentOS, existe um local adicional, onde eu tenho esses módulos específicos configurados para carregar e esse é o /etc/sysconfig/iptables-configarquivo. O início do arquivo se parece com isso

# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="nf_conntrack_ftp nf_conntrack"

Quando corro service iptables restart, recebo esta linha

Loading additional iptables modules: nf_conntrack_ftp nf_co[  OK  ]

Se eu jogar com o conteúdo do

IPTABLES_MODULES="nf_conntrack_ftp nf_conntrack"

acima muda a saída da Loading additional moduleslinha quando reinicio o serviço.