Miguel Angel Yucra Luna

mikeylangel@gmail.com

USO BASICO DE IPTABLES

¿Qué es IPTABLES ?

En linux, el filtrado de paquetes se controla a nivel del kernel.

Existen modulos para el kernel que permiten definir un sistema de reglas para aceptar o rechazar los paquetes o
las comunicaciones que pasan por el sistema.

Estos sistemas de reglas conforman lo que se conoce como firewall o cortafuegos; en otros sistemas los firewall
pueden estar implementados en software y estar desvinculados del sistema operativo, pero en el caso de linux, el
firewall se puede montar a nivel de kernel y no es necesario instalar un software adicional.

Iptables puede manejar varias tablas, pero las más importantes son:

Filter. Es la tabla predeterminada que permite el filtrado de las comunicaciones. La tabla Filter está compuesta
por tres secciones:

INPUT. Referencia el tráfico de entrada.

OUTPUT. Referencia el tráfico de salida.

FORWARD. Referencia el tráfico que el router reenvía a otros equipos.

Nat. El servicio que permite dar acceso a Internet a una red interna. Esta tabla permite definir el tipo de
comunicaciones entre la red externa y las redes internas. La tabla NAT tiene dos secciones:

POSTROUTING. Permite establecer las comunicaciones desde la red interna al exterior. Por ejemplo,
para hacer que la red interna tenga Internet.

PREROUTING. Permite establecer las comunicaciones desde la red externa a la red interna. Por
ejemplo, se utiliza para que desde el exterior se tenga acceso a un servidor interno.

Elementos básicos

-Ordenes básicas:
iptables –F : Flush de reglas
iptables –L : Muestra el estado de la tabla predeterminada (filter). Si quiere ver el estado de la tabla NAT ejecute
iptables -L –t nat
iptables –A <parámetros> -j <acción>. Permite añadir una regla para que el cortafuegos realice una acción sobre
un tráfico determinado.
iptables –D : borrar una regla
Miguel Angel Yucra Luna
mikeylangel@gmail.com

Ejemplo de regla:

#Regla que acepta conexiones al puerto 80

iptables ­A INPUT ­i eth0 ­s 0.0.0.0/0 ­p TCP –dport www ­j ACCEPT

#Permite todo el tráfico.

iptables ­A FORWARD ­j ACCEPT.

# Permite sólo el tráfico de la red interna 192.168.0.0/24.

iptables ­A FORWARD ­s 192.168.0.0/24 ­j ACCEPT.

#Permite sólo el tráfico de la red interna 192.168.0.0/24 en el puerto 80.

iptables ­A FORWARD ­s 192.168.0.0/24 ­p TCP –dport 80 ­j ACCEPT.

ANATOMIA DE LA REGLA:

-Notas:
-i se usa con reglas INPUT y FORWARD
-o se usa con reglas FORWARD y OUTPUT

Las acciones que se pueden realizar en la tabla FILTER son:

-j ACCEPT. Acepta el tráfico.

-j DROP. Elimina el tráfico.

-j REJECT. Rechaza el tráfico e informa al equipo de origen.

-j LOG –log-prefix “IPTABLES_L”. Registra el tráfico que cumple los criterios en /var/log.
Miguel Angel Yucra Luna
mikeylangel@gmail.com

Las acciones que se pueden realizar en la tabla NAT son:

-j MASQUERADE. Hace enmascaramiento del tráfico (NAT) de forma que la red interna sale al exterior con la
dirección externa del router.

-j DNAT --to <ip>. Se utiliza para que desde el exterior se tenga acceso a un servidor que se encuentra en la red
interna.

Compartir Internet a tu red local usando MASQUERADE

Suponiendo que la interfaz eth0 es la de salida hacia internet, y la eth1 hacia la red interna, se deberá realizar un
enmascarmiento del tráfico que salga por la interfaz eth0 y aceptar todas las conexiones que deban salir por el
Firewall desde la interfaz eth1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT

No olvidar que se debe activar el bit de forwarding:

echo 1 > /proc/sys/net/ipv4/ip_forward