¿Cuál es la forma correcta de cargar módulos para iptables en Centos 6?

¿Dónde debo cargar los módulos de iptables, por ejemplo ip_conntrack e ip_conntrack_ftp?

Lugares que he encontrado que podrían ser candidatos, pero ¿lo son?

• La variable IPTABLES_MODULES en /etc/init.d/iptables
• En /etc/modprobe.conf
• En /etc/modprobe.d/xxxx.conf

Ninguno de ellos.

/etc/rc.d/rc.sysinit buscando dos ubicaciones para cargar módulos:

# Load other user-defined modules
for file in /etc/sysconfig/modules/*.modules ; do
  [ -x $file ] && $file
done

# Load modules (for backward compatibility with VARs)
if [ -f /etc/rc.modules ]; then
        /etc/rc.modules
fi

Por lo tanto, debe colocar el comando de carga en /etc/sysconfig/modules/*.moduleso /etc/rc.modules:

# echo "modprobe ip_conntrack" >> /etc/sysconfig/modules/iptables.modules
# chmod +x /etc/sysconfig/modules/iptables.modules

Para iptables en CentOS hay una ubicación adicional que es donde tengo esos módulos particulares configurados para cargar y ese es el /etc/sysconfig/iptables-configarchivo. El inicio del archivo se ve así

# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="nf_conntrack_ftp nf_conntrack"

Cuando corro service iptables restartme sale esta línea

Loading additional iptables modules: nf_conntrack_ftp nf_co[  OK  ]

Si juego con el contenido de la

IPTABLES_MODULES="nf_conntrack_ftp nf_conntrack"

arriba cambia la salida de la Loading additional moduleslínea cuando reinicio el servicio.