Como recordbamos antes, en el tema de los cortafuegos por software, destaca un nombre,

IPtables, el cortafuegos que por defecto viene integrado con la mayora de las distribuciones
Linux, y es en el que nos centraremos hoy, no sin mencionar antes los distintos tipos de
software rewallque podemos encontrar.

Cortafuegos de Estado:Este rewall comprobar el estado del paquete en la transmisin

diferenciando entre una nueva conexin y otra ya existente.

Cortafuegos de capa de aplicacin:Tiene en cuenta el contenido del paquete a nivel de

aplicacin, pudiendo hacer as un ltrado ms especco.

Cortafuegos de ltrado de paquetes:Con este tipo analizamos y ltramos los paquetes

transmitidos o recibidos, segn alguno parmetros designados previamente como por
ejemplo direcciones IP, puertos a usar, origen, destino...

Apuntar que un rewall puede contener todas estas capas unas sobre otras, es decir, no son
excluyentes unos de otros, pero como con todo, abusar nunca es bueno, y el interponer ms
capas de las necesarias, lo que har ser ralentizar nuestra red.

Hoy conguraremos unsoftware rewall de ltrado de paquetes con IPtables. Como pudimos
ver en el post anterior de IPtables, existen cuatro tablas a aplicar dentro de IPtables: lter,
mangle, nat y raw; que a su vez contienen tres cadenas: INPUT, OUTPUT y FORWARD. Vamos a
utilizar la tabla 'lter', y lo podemos hacer de dos formas. Una sera aceptar todos los paquetes
entrantes al equipo e ir restringiendo uno a uno los paquetes que nos interesen; esta sera la
poltica conocida como ACCEPT. La otra forma de ltrar paquetes sera el opuesto, denegar el
acceso a todos los paquetes y se van permitiendo los paquetes que queramos; esta segunda
poltica de ltrado se conoce como DROP.

Para especicar qu tipos de paquetes acceden o salen de nuestro equipo, tenemos que
describirlos de una forma determinada para que IPtables nos comprenda. Para esto
necesitamos rdenes y parmetros con los que formular la regla debidamente.

Ordenes:

IPtables F: ush (borrado, vaciado) de todas las reglas IPtables L: listado de reglas que se
estn aplicandoIPtables A :aadir reglaIPtables D:borrar una regla
Etc...

Estos son varios de losparmetrosque usaremos para congurar las reglas de IPtables.

-p [protocolo]: Protocolo al que pertenece el paquete. -s [origen]: direccin de origen del

paquete, puede ser un nombre de host, una direccin IP normal, o una direccin de red (con
mscara, de forma direccin/mscara). -d [destino]: Al igual que el anterior, puede ser un
nombre de host, direccin de red o direccin IP singular.-i [interfaz-entrada]:Especicacin del
interfaz por el que se recibe el paquete.-o [interfaz-salida]:Interfaz por el que se va a enviar el
paquete. [!] -f: Especica que la regla se reere al segundo y siguientes fragmentos de un
paquete fragmentado. Si se antepone !, se reere slo al primer paquete, o a los paquetes no
fragmentados. -j [target]:Nos permite elegir el target al que se debe enviar ese paquete, esto
es, la accin a llevar a cabo con l.

Ahora vamos con unejemplode una regla que acepta conexiones al puerto 80 del sistema.

iptablesAINPUTieth0s0.0.0.0/0pTCPdportwwwjACCEPT

Y aqu la descripcin de cada componente del anterior comando:

iptables: comando para IPtables (no hay que olvidar que las reglas son un Shell script) -
A: append, opcin para aadir la regla INPUT:estado del paquete (al entrar es INPUT) -i
eth0: interfaz de red eth0 -s 0.0.0.0/0: direccin de acceso (cualquiera en este caso) -p
TCP: tipo de puerto --dport: puerto de destino -j ACCEPT: destino del paquete (se acepta
aunque aqu podra ser DROP, LOG, REJECT,..)

Pues ya tenemos y conocemos todo lo bsico para crear un rewall por software en Linux a
nuestra medida.

As que ahora pongmonos manos a la obra y lo primero ser cortar todas las comunicaciones
con esta lnea:

sudoiptablesPINPUTDROP

As lo que decimos a IPtables es que no permita el paso de ningn paquete de datos, y esto
incluye incluso los salientes, por lo que si hacemos la comprobacin, comprobaremos que no
tenemos conexin a Internet. Esto lo podemos arreglar fcilmente si usamos la siguiente lnea.

sudoiptablesAINPUTilojACCEPT
 sudoiptablesAINPUTilojACCEPT

Muy bien, ahora ya podemos navegar, pero indaguemos en algunas webs y comprobemos que la
carga de contenido est restringida, es decir, s podemos navegar, pero no vemos imgenes,
contenido ash y cualquier otro componente de una web de hoy da. Esto se debe a que con la
lnea anterior hemos permitido el acceso de nuestro equipo (con 'lo' que IPtables traduce como
localhost, es decir, nuestro ordenador) a Internet, pero no al contrario. Fijemos entonces una
norma que nos permita una navegacin adecuada y segura a la par con la siguiente lnea de
comandos:

sudoiptablesAINPUTmstatestateESTABLISHED,RELATEDjACCEPT

As decimos a IPtables que permita la entrada de datos al equipo, pero nicamente aquellos
paquetes que estn relacionados directamente con las solicitudes que nuestro equipo ha
emitido.

Pues ya tenemos congurado nuestro cortafuegos por software con IPtables, slo comentar
una ltima cosa, y es que estas reglas desaparecen al apagar la mquina, por lo que al iniciarlas
tendremos que volver a introducirlas. A no ser que programemos un script que se ejecute
durante el inicio del sistema:Cmo iniciar iptables al arrancar Linux.