DIPLOMADO DE PROFUNDIZACION EN LINUX

PASO 6 – IMPLEMENTAR SISTEMAS ORIENTADOS A LA PROTECCION, LA

AUDITORIA Y SEGURIDAD INFORMATICA

ID: 86041715

Grupo 201494_23

TUTOR

UNIVERSIDAD NACIONAL ABIERTA

Y A DISTANCIA UNAD

NOVIEMBRE

2017
7.3. Filtros comunes de iptables

El mantener a los atacantes remotos fuera de la LAN es un aspecto importante de la seguridad de

la red, o quizás el más importante. La integridad de una LAN debería ser protegida de usuarios
remotos maliciosos a través del uso de reglas del cortafuegos rigurosas. Sin embargo, con una
política por defecto configurada para bloquear todos los paquetes entrantes, salientes y
redirigidos, es imposible para el cortafuegos/puerta de enlace y los usuarios internos de la LAN
comunicarse entre ellos o con recursos externos. Para permitir a los usuarios realizar funciones
relacionadas a la red y utilizar las aplicaciones de la red, los administradores deben abrir ciertos
puertos para la comunicación.

Por ejemplo, para permitir el acceso al puerto 80 en el cortafuegos, añada la siguiente regla:

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

Esto permite la navegación web normal desde los sitios web que se comunican a través del puerto
80. Para permitir el acceso a sitios web seguros (tales como https://www.example.com/), debe
abrir el puerto 443 también.

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

Importante Importante

Cuando se crea un conjunto de reglas iptables, es crítico recordar que el orden es importante. Por
ejemplo, una cadena que especifica que cualquier paquete desde la subred local 192.168.100.0/24
sea descartado y luego se agrega una cadena (-A) para permitir paquetes desde 192.168.100.13 (la
cual está dentro de la subred restringida descartada), entonces la regla anexada es ignorada.
Primero debe configurar una regla para permitir 192.168.100.13 y luego configurar una regla de
rechazo en la subred.

Para insertar una regla de forma arbitraria en una cadena de reglas existente, utilice -I, seguido
por la cadena en la cual desea insertar la regla y un número de regla (1,2,3,...,n) donde desea que
resida la regla. Por ejemplo:

iptables -I INPUT 1 -i lo -p all -j ACCEPT

La regla es insertada como la primera regla en la cadena INPUT para permitir el tráfico en loopback
local del dispositivo.

Hay muchas veces en que se requiere el acceso remoto a la LAN desde fuera de la LAN. Se puede
utilizar un servicio seguro, tal como SSH, para encriptar conexiones remotas a los servicios LAN.
Para aquellos administradores con recursos basados en PPP (tales como bancos de módem o
cuentas ISP en cantidades), el acceso de marcado se puede utilizar para burlar las barreras del
cortafuegos de forma segura, pues las conexiones de módem están típicamente detrás de un
cortafuegos/puerta de enlace ya que son conexiones directas. Sin embargo, para los usuarios
remotos con conexiones de banda ancha, se pueden hacer casos especiales. Puede configurar
iptables para aceptar conexiones desde clientes SSH remotos. Por ejemplo, para permitir acceso
SSH, se deben utilizar las reglas siguientes:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

Hay otros servicios para los cuales puede necesitar definir reglas. Consulte el Manual de referencia
de Red Hat Enterprise Linux para información completa sobre iptables y sus varias opciones.

Estas reglas permiten el acceso a servicios regulares y seguros en el cortafuegos; sin embargo, no
permiten a nodos detrás del cortafuegos acceder a estos servicios. Para permitir el acceso a la LAN
de estos servicios, puede utilizar NAT con reglas de filtrado iptables.