Función(es), acción o Función(es), acción o

Comandos finalidad Sintaxis de finalidad Sintaxis de

IPTables cada comando cada comando
particular. El número de la regla debe ser
especificado después del nombre de la
cadena. La primera regla en una cadena
corresponde a la regla número uno.
-X — Borra una cadena especificada por
el usuario. No se permite borrar ninguna
de las cadenas predefinidas para cualquier
Opciones de comandos tabla.
Las opciones de comandos le dicen a -Z — Pone ceros en los contadores de
iptables que realice una acción específica. byte y de paquete en todas las cadenas de
Solamente una opción de comando se una tabla en particular.
permite por comando iptables. Excepto el Opciones de parámetros de iptables
comando de ayuda, todos los comandos se -c — Resetea los contadores de una regla
escriben en mayúsculas. en particular. Este parámetro acepta las
opciones PKTS y BYTES para especificar
Opciones de parámetros de iptables qué contador hay que resetear.
Una vez que se especifiquen ciertos -d — Configura el nombre de la máquina
comandos iptables, incluyendo aquellos destino, dirección IP o red de un paquete
para añadir, anexar, eliminar, insertar o que coincide con la regla. Cuando se
reemplazar reglas dentro de una cadena, se coincida una red, se soportan los
requieren parámetros para construir una siguientes formatos de direcciones IP o
regla de filtrado de paquetes. máscaras de red:
N.N.N.N/M.M.M.M — Donde N.N.N.N
es el rango de direcciones IP y M.M.M.M
Tema 1: es la máscara de la red.
Cadenas N.N.N.N/M — Donde N.N.N.N es el
y opciones rango de direcciones IP y M es la máscara
de de bit.
comandos -f — Aplica esta regla sólo a los paquetes
y de fragmentados.Usando la opción ! después
parámetros de este parámetro, únicamente se harán
 opciones específicas de TCP que pueden
estar activas en un paquete en particular.
Esta opción se puede revertir con el punto
de exclamación (!).
Protocolo UDP
Estas opciones de selección están
disponibles para el protocolo UDP (-p
udp):

--dport — Especifica el puerto destino del

Tema 2: paquete UDP, usando el nombre del
Opciones servicio, número de puerto, o rango de
de números de puertos. La opción de
coincidenci coincidencia --destination-port es
a para el Diferentes protocolos de red proporcionan sinónimo con --dport.
protocolo opciones especializadas las cuales se --sport — Configura el puerto fuente del
TCP pueden configurar para coincidir un paquete UDP, usando el nombre de
(Incluir paquete particular usando ese protocolo. puerto, número de puerto o rango de
banderas), Sin embargo, primero se debe especificar el números de puertos. La opción --source-
UDP e protocolo en el comando iptables. Por port es sinónimo con --sport.
ICMP ejemplo, -p tcp <protocol-name> (donde Protocolo ICMP
<protocol-name> es el protocolo objetivo), Las siguientes opciones de coincidencia
hace disponibles las opciones para ese están disponibles para el Protocolo de
protocolo especificado. mensajes de Internet (ICMP) (-p icmp):

Protocolo TCP --icmp-type — Selecciona el nombre o el

Estas opciones de identificación están número del tipo ICMP que concuerde con
disponibles en el protocolo TCP (opción -p la regla. Se puede obtener una lista de
tcp): nombres válidos ICMP tecleando el
comando iptables -p icmp -h.
 ESTABLISHED El paquete seleccionado
se asocia con otros paquetes en una
conexión establecida.
INVALID El paquete seleccionado no
puede ser asociado a una conexión
conocida.
NEW El paquete seleccionado o bien está
creando una nueva conexión o bien forma
parte de una conexión de dos caminos que
antes no había sido vista.
RELATED El paquete seleccionado está
iniciando una nueva conexión en algún
punto de la conexión existente.
Estos estados de conexión se pueden
utilizar en combinación con otros
Opciones adicionales de coincidencia están separándolos mediante comas como en -m
disponibles a través de los módulos por el state --state INVALID, NEW.
comando iptables. Para usar un módulo de
opciones de coincidencia, cargue el módulo módulo mac — Habilita la coincidencia
por nombre usando la opción -m, tal como de direcciones MAC de hardware.El
-m <module-name> (reemplazando módulo mac activa las opciones
<module-name> con el nombre del siguientes:
módulo). --mac-source — Coincide una dirección
MAC a la tarjeta de red que envió el
Un gran número de módulos están paquete. Para excluir una dirección MAC
disponibles por defecto. Hasta es posible de la regla, coloque un símbolo de
crear sus módulos para proporcionar exclamación (!) después de la opción
funcionalidades de opciones de --mac-source.
coincidencia adicionales. Para visualizar otras opciones disponibles
a través de los módulos, consulte la
Tema 3: Mód página del manual de iptables.
 tabla mangle, se puede encontrar en la
página del manual de iptables.

OPCIONES DE LISTADO -v
— Muestra la salida por pantalla con
detalles, como el número de paquetes y
bytes que cada cadena ha visto, el número
de paquetes y bytes que cada regla ha
encontrado y qué interfaces se aplican a
una regla en particular.
-x _Expande los números en sus valores
exactos. En un sistema ocupado, el
Opciones del objetivo número de paquetes y bytes vistos por una
Una vez que un paquete ha coincidido con cadena en concreto o por una regla puede
una regla, la regla puede dirigir el paquete a estar abreviado usando K (miles), M
un número de objetivos diferentes que (millones), y G (billones) detrás del
deciden su suerte y, posiblemente, toman número. Esta opción fuerza a que se
acciones adicionales. Cada cadena tiene un muestre el número completo.
objetivo por defecto, el cual es usado si -n Muestra las direcciones IP y los
ninguna de las reglas en esa cadena números de puertos en formato numérico,
coinciden con un paquete o si ninguna de en lugar de utilizar el nombre del servidor
las reglas que coinciden con el paquete y la red tal y como se hace por defecto.
especifica un objetivo. --line-numbers — Proporciona una lista
Opciones de listado de cada cadena junto con su orden
El comando predeterminado para listar, numérico en la cadena. Esta opción puede
iptables -L, proporciona una vista muy ser útil cuando esté intentando borrar una
básica de los filtros por defecto de las regla específica en una cadena o localizar
cadenas actuales de la tabla dónde insertar una regla en una cadena.
Tema 4: Opci -t — Especifica un nombre de tabla.
 cual ejecuta el programa /sbin/iptables-save IPTABLES_SAVE_ON_RESTART —
y escribe la configuración actual de iptables Guarda las reglas actuales del cortafuegos
a /etc/sysconfig/iptables. El archivo cuando este se reinicia. Esta directiva
/etc/sysconfig/iptables existente es acepta los valores siguientes:
guardado como yes — Guarda las reglas existentes a
/etc/sysconfig/iptables.save. /etc/sysconfig/iptables cuando se reinicia
el cortafuegos, moviendo la versión
La próxima vez que se inicie el sistema, el anterior al archivo
script de inicio de iptables volverá a aplicar /etc/sysconfig/iptables.save.
las reglas guardadas en no — El valor por defecto. No guarda las
/etc/sysconfig/iptables usando el reglas existentes cuando se reinicia el
comando /sbin/iptables-restore. cortafuegos.
IPTABLES_SAVE_COUNTER —
Aún cuando siempre es una buena idea Guarda y restaura todos los paquetes y
probar una regla de iptables antes de contadores de bytes en todas las cadenas y
confirmar los cambios al archivo reglas. Esta directiva acepta los valores
/etc/sysconfig/iptables, es posible copiar siguientes:
reglas iptables en este archivo desde otra yes — Guarda los valores del contador.
versión del sistema de este archivo. Esto no — El valor por defecto. No guarda los
Tema 5: proporciona una forma rápida de distribuir valores del contador.
Directivas conjuntos de reglas iptables a muchas IPTABLES_STATUS_NUMERIC —
de control máquinas. Muestra direcciones IP en una salida de
de estado en vez de dominios y nombres de
IPTables, Importante host. Esta directiva acepta los valores
guardado siguientes:
de reglas y Si se está distribuyendo el archivo yes — El valor por defecto. Solamente
archivos de /etc/sysconfig/iptables a otras máquinas, devuelve direcciones IP dentro de una
configuraci escriba /sbin/service iptables restart para salida de estado.
ón de que las nuevas reglas tomen efecto. no — Devuelve dominios o nombres de
scripts de host en la salida de estado.
control
https://zystrax.wordpress.com/2009/12/28/tutorial-de-iptables/
Tema 1: Cadenas
y opciones de
comandos y de
parámetros