Santiago Hernández@santiagohramos
¿𝐐𝐮𝐞́ 𝐞𝐬 𝐈𝐏𝐓𝐀𝐁𝐋𝐄𝐒? 𝐆𝐮𝐢́𝐚 𝐝𝐞 𝐮𝐬𝐨 𝐲 𝐜𝐨𝐦𝐚𝐧𝐝𝐨𝐬 𝐞𝐬𝐞𝐧𝐜𝐢𝐚𝐥𝐞𝐬
IPTABLES es una herramienta esencial para tener el control total del tráfico de red en un sistema Linux.
Esta poderosa herramienta permite configurar políticas de filtrado de tráfico de red en el kernel, estableciendo reglas para aceptar, rechazar o redirigir paquetes en la red.
Usualmente se utiliza para la configuración de reglas de firewall, gestión de tráfico de red, y la aplicación de políticas de seguridad en servidores.
A continuación, se presentan los conceptos clave y los comandos esenciales de IPTABLES.
¿𝐂𝐨́𝐦𝐨 𝐟𝐮𝐧𝐜𝐢𝐨𝐧𝐚 𝐈𝐏𝐓𝐀𝐁𝐋𝐄𝐒?
IPTABLES funciona basándose en un conjunto de reglas que se aplican a los paquetes de red que entran y salen del sistema.
Cada regla define condiciones específicas, como la dirección IP de origen, el puerto de destino o el protocolo, y luego establece una acción a tomar cuando un paquete cumple con esas condiciones.
Estas reglas se organizan dentro de 𝒕𝒂𝒃𝒍𝒂𝒔, cada una con un propósito particular. Las tablas más comunes incluyen
- 𝒇𝒊𝒍𝒕𝒆𝒓: es la tabla predeterminada para el filtrado de paquetes
- 𝒏𝒂𝒕: para la traducción de direcciones de red y redirección de puertos
- 𝒎𝒂𝒏𝒈𝒍𝒆: para la modificación de encabezados de los paquetes
- 𝒓𝒂𝒘: usada principalmente para excepciones en el seguimiento de conexiones.
Dentro de cada tabla, las reglas se agrupan en 𝒄𝒂𝒅𝒆𝒏𝒂𝒔, que especifican cuándo deben evaluarse las reglas según el trayecto del paquete (entrada, salida o reenvío).
Las reglas se evalúan en el orden en que fueron añadidas, y una vez que un paquete coincide con una regla, se toma la acción definida, por lo que el orden de las reglas y la elección de la tabla correcta son cruciales para el comportamiento adecuado de la red.
𝟏. 𝐂𝐨𝐦𝐩𝐫𝐨𝐛𝐚𝐜𝐢𝐨́𝐧 𝐝𝐞 𝐑𝐞𝐠𝐥𝐚𝐬 𝐀𝐜𝐭𝐮𝐚𝐥𝐞𝐬
Para visualizar las reglas actualmente configuradas en iptables, podemos usar los siguientes comandos:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑳: Lista todas las reglas en las cadenas de la tabla filter por defecto.
Esta opción proporciona una visión general básica de las reglas aplicadas. Puedes listar todas las reglas de otra tabla con 𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑳 <𝒕𝒂𝒃𝒍𝒂>.
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑳 -𝒗 -𝒏: Lista las reglas con más detalle (-v para mostrar más información) y con direcciones IP en formato numérico (-n), lo cual es útil para evitar la resolución DNS, agilizando la consulta.
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑺: Muestra las reglas de manera que puedan ser reutilizadas en scripts, útil si necesitas exportar o replicar la configuración.
𝟐. 𝐄𝐥𝐢𝐦𝐢𝐧𝐚𝐫 𝐑𝐞𝐠𝐥𝐚𝐬
Para limpiar o eliminar reglas en iptables, podemos usar los comandos siguientes:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑭: Limpia todas las reglas en las cadenas de la tabla filter.
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑭 <𝒄𝒂𝒅𝒆𝒏𝒂>: Limpia solo las reglas de una cadena específica, como INPUT o FORWARD.
𝟑. 𝐃𝐞𝐟𝐢𝐧𝐢𝐫 𝐏𝐨𝐥𝐢́𝐭𝐢𝐜𝐚𝐬 𝐩𝐨𝐫 𝐃𝐞𝐟𝐞𝐜𝐭𝐨
Establecer las políticas por defecto en iptables define cómo se comportará el sistema si no hay reglas específicas que coincidan con el tráfico entrante o saliente:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑷 𝑰𝑵𝑷𝑼𝑻 𝑨𝑪𝑪𝑬𝑷𝑻: Define la política predeterminada para la cadena INPUT como aceptar todo el tráfico entrante.
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑷 𝑭𝑶𝑹𝑾𝑨𝑹𝑫 𝑨𝑪𝑪𝑬𝑷𝑻: Define la política por defecto para la cadena FORWARD, que controla el tráfico que pasa por el sistema (utilizado en el enrutamiento).
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑷 𝑶𝑼𝑻𝑷𝑼𝑻 𝑨𝑪𝑪𝑬𝑷𝑻: Establece que todo el tráfico saliente será permitido.
Las opciones -P establecen la política predeterminada (policies) para cada cadena.
𝟒. 𝐂𝐫𝐞𝐚𝐜𝐢𝐨́𝐧 𝐲 𝐓𝐫𝐚𝐛𝐚𝐣𝐨 𝐜𝐨𝐧 𝐂𝐚𝐝𝐞𝐧𝐚𝐬
Podemos crear cadenas personalizadas en iptables para agrupar reglas según nuestras necesidades:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑵 <𝒏𝒐𝒎𝒃𝒓𝒆_𝒄𝒂𝒅𝒆𝒏𝒂>: Crea una nueva cadena de reglas personalizada.
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑿 <𝒏𝒐𝒎𝒃𝒓𝒆_𝒄𝒂𝒅𝒆𝒏𝒂>: Elimina una cadena personalizada previamente creada (siempre y cuando no esté en uso por ninguna regla).
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑨 𝑰𝑵𝑷𝑼𝑻 -𝒋 <𝒏𝒐𝒎𝒃𝒓𝒆_𝒄𝒂𝒅𝒆𝒏𝒂>: Reenvía el tráfico de red a una cadena definida por el usuario desde la cadena INPUT.
𝟓. 𝐏𝐞𝐫𝐦𝐢𝐭𝐢𝐫 𝐨 𝐃𝐞𝐧𝐞𝐠𝐚𝐫 𝐓𝐫𝐚́𝐟𝐢𝐜𝐨 𝐜𝐨𝐧 𝐂𝐨𝐧𝐝𝐢𝐜𝐢𝐨𝐧𝐞𝐬
Podemos usar iptables para permitir o denegar tráfico basado en varias condiciones:
- Permitir tráfico de una IP específica a un puerto específico:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑨 𝑰𝑵𝑷𝑼𝑻 -𝒑 𝒕𝒄𝒑 -𝒔 <𝑰𝑷> --𝒅𝒑𝒐𝒓𝒕 <𝒑𝒖𝒆𝒓𝒕𝒐> -𝒋 𝑨𝑪𝑪𝑬𝑷𝑻
Este comando permite el tráfico TCP entrante (-p tcp) desde una IP específica (-s ) a un puerto determinado (--dport ), y la acción -j ACCEPT especifica que el tráfico debe ser aceptado.
- Denegar tráfico de una IP específica a un puerto específico:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑨 𝑰𝑵𝑷𝑼𝑻 -𝒑 𝒕𝒄𝒑 -𝒔 <𝑰𝑷> --𝒅𝒑𝒐𝒓𝒕 <𝒑𝒖𝒆𝒓𝒕𝒐> -𝒋 𝑫𝑹𝑶𝑷
Similar al comando anterior, pero la acción -j DROP indica que el tráfico debe ser descartado.
𝟔. 𝐄𝐥𝐢𝐦𝐢𝐧𝐚𝐫 𝐑𝐞𝐠𝐥𝐚𝐬 𝐄𝐬𝐩𝐞𝐜𝐢́𝐟𝐢𝐜𝐚𝐬
Si necesitamos eliminar reglas específicas, podemos hacerlo de la siguiente manera:
Eliminar una regla usando su número:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑫 𝑰𝑵𝑷𝑼𝑻 <𝒏𝒖́𝒎𝒆𝒓𝒐_𝒅𝒆_𝒓𝒆𝒈𝒍𝒂>
Aquí, indica la posición de la regla en la cadena. Se puede ver el número de regla utilizando el comando iptables -L --line-numbers.
𝟕. 𝐆𝐮𝐚𝐫𝐝𝐚𝐝𝐨, 𝐑𝐞𝐬𝐭𝐚𝐮𝐫𝐚𝐜𝐢𝐨́𝐧 𝐲 𝐋𝐨𝐠 𝐝𝐞 𝐑𝐞𝐠𝐥𝐚𝐬
Es esencial poder guardar y restaurar las reglas de iptables para evitar que se pierdan tras un reinicio del sistema:
- Guardar reglas:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔-𝒔𝒂𝒗𝒆 > /𝒓𝒖𝒕𝒂/𝒂𝒓𝒄𝒉𝒊𝒗𝒐
Guarda todas las reglas actuales en un archivo que puede restaurarse posteriormente.
- Restaurar reglas:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔-𝒓𝒆𝒔𝒕𝒐𝒓𝒆 < /𝒓𝒖𝒕𝒂/𝒂𝒓𝒄𝒉𝒊𝒗𝒐
Restaura las reglas desde el archivo guardado.
- Registrar paquetes descartados:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑨 𝑰𝑵𝑷𝑼𝑻 -𝒑 𝒕𝒄𝒑 --𝒅𝒑𝒐𝒓𝒕 <𝒑𝒖𝒆𝒓𝒕𝒐> -𝒋 𝑳𝑶𝑮 --𝒍𝒐𝒈-𝒑𝒓𝒆𝒇𝒊𝒙 "𝑰𝑷𝑻𝒂𝒃𝒍𝒆𝒔-𝑫𝒓𝒐𝒑𝒑𝒆𝒅: " --𝒍𝒐𝒈-𝒍𝒆𝒗𝒆𝒍 4
Este comando registra los paquetes descartados para poder analizarlos más tarde en los archivos de log del sistema.
𝟖. 𝐑𝐞𝐝𝐢𝐫𝐞𝐜𝐜𝐢𝐨𝐧𝐚𝐦𝐢𝐞𝐧𝐭𝐨 𝐝𝐞 𝐍𝐀𝐓 𝐲 𝐑𝐞𝐞𝐧𝐯𝐢́𝐨 𝐝𝐞 𝐏𝐮𝐞𝐫𝐭𝐨𝐬
- Habilitar NAT en una interfaz:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝒕 𝒏𝒂𝒕 -𝑨 𝑷𝑶𝑺𝑻𝑹𝑶𝑼𝑻𝑰𝑵𝑮 -𝒐 <𝒊𝒏𝒕𝒆𝒓𝒇𝒂𝒛> -𝒋 𝑴𝑨𝑺𝑸𝑼𝑬𝑹𝑨𝑫𝑬
Este comando habilita la traducción de direcciones en una interfaz de red específica.
- Reenviar tráfico de un puerto a otro:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝒕 𝒏𝒂𝒕 -𝑨 𝑷𝑹𝑬𝑹𝑶𝑼𝑻𝑰𝑵𝑮 -𝒑 𝒕𝒄𝒑 --𝒅𝒑𝒐𝒓𝒕 <𝒑𝒖𝒆𝒓𝒕𝒐_𝒇𝒖𝒆𝒏𝒕𝒆> -𝒋 𝑫𝑵𝑨𝑻 --𝒕𝒐-𝒅𝒆𝒔𝒕𝒊𝒏𝒂𝒕𝒊𝒐𝒏 <𝑰𝑷_𝒅𝒆𝒔𝒕𝒊𝒏𝒐>:<𝒑𝒖𝒆𝒓𝒕𝒐_𝒅𝒆𝒔𝒕𝒊𝒏𝒐>
Aquí, redirigimos el tráfico entrante desde el puerto_fuente hacia otro puerto y dirección IP, lo que es útil en configuraciones de servidores con múltiples servicios.
𝐄𝐣𝐞𝐦𝐩𝐥𝐨 𝐏𝐫𝐚́𝐜𝐭𝐢𝐜𝐨 𝐂𝐨𝐦𝐩𝐥𝐞𝐭𝐨
Supongamos que queremos permitir el acceso SSH (puerto 22) solo desde una IP específica (por ejemplo, 192.168.1.100), denegar todo el acceso a dicho puerto para otras IPs, y registrar cualquier intento de acceso fallido.
1. Permitir acceso SSH desde la IP 192.168.1.100:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑨 𝑰𝑵𝑷𝑼𝑻 -𝒑 𝒕𝒄𝒑 -𝒔 192.168.1.100 --𝒅𝒑𝒐𝒓𝒕 22 -𝒋 𝑨𝑪𝑪𝑬𝑷𝑻
2. Denegar el acceso SSH desde otras IPs:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑨 𝑰𝑵𝑷𝑼𝑻 -𝒑 𝒕𝒄𝒑 --𝒅𝒑𝒐𝒓𝒕 22 -𝒋 𝑫𝑹𝑶𝑷
3. Registrar los intentos de acceso fallidos:
𝒊𝒑𝒕𝒂𝒃𝒍𝒆𝒔 -𝑨 𝑰𝑵𝑷𝑼𝑻 -𝒑 𝒕𝒄𝒑 --𝒅𝒑𝒐𝒓𝒕 22 -𝒋 𝑳𝑶𝑮 --𝒍𝒐𝒈-𝒑𝒓𝒆𝒇𝒊𝒙 "𝑺𝑺𝑯-𝑫𝒆𝒏𝒊𝒆𝒅: " --𝒍𝒐𝒈-𝒍𝒆𝒗𝒆𝒍 4
Con esta configuración, estamos protegiendo el servidor SSH permitiendo solo el acceso desde una IP de confianza, bloqueando otras conexiones y registrando cualquier intento no autorizado.
En resumen, iptables es una herramienta robusta para gestionar la seguridad de la red en sistemas Linux.
Su flexibilidad y capacidad para crear reglas personalizadas nos permiten adaptarnos a las necesidades de cada escenario en una red.
