La mayoria de los usuarios que recien se está iniciando en linux y quiere hacer uso del firewall tiende a usar asistentes gráficos, ya que IPTABLES a simple vista parece demasiado complicado, esto es debido a que las reglas hay que meterlas en modo consola y hay que saber aplicarlas. De los asistentes gráficos que he visto, ninguno aprovecha bien el verdadero poder que IPTABLES tiene.

Hay bastantes manuales y tutoriales en internet para aprender a usar IPTABLES, pero la mayoria viene hecho y solo explica la regla completa.

Si quieren montar un filtro con IPTABLES en una maquina casera, pueden hacer lo siguiente:

(No explicaré el detalle de cada regla, ya que lo haré mas adelante en otro topico)

Paso 1º Creamos un archivo donde Escribiremos las reglas:


#!/bin/sh
iptables -F
# Reglas de Entrada
#Solo permitiremos trafico hacia nuestro PC desde los puertos
#1024 hacia arriba

iptables -A INPUT -d tcp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -d udp --dport 1024:65535 -j ACCEPT
#Permitiremos el trafico entrante DNS, importante para
#resolver URL'S y navegar
iptables -A INPUT -d tcp --dport 53 -j ACCEPT
iptables -A INPUT -d udp --dport 53 -j ACCEPT
# Cualquiera otra que quieran habilitar debe ser agregado antes de RDT

# RDT = Regla de denegacion total (Todo lo que no coincida con
#las reglas anteriores será rechazado).

iptables -A INPUT -j DROP

#Reglas Salientes
#Con esto deberiamos poder ir a cualquier lugar sin problemas
iptables -A OUTPUT -d tcp --dport 1:65535 -j ACCEPT
iptables -A OUTPUT -d udp --dport 1:65535 -j ACCEPT

Asi de simple, guarden el archivo como iptables.sh y ejecutenlo con permisos de super usuario

sh iptables.sh

Ahoran en la consola podrán ver las reglas cargadas con el comando iptables -L o iptables -L -n

Prueben como anda el filtro y de estar todo OK, copienlo (en el caso de debian o ubuntu) en el directorio /etc/init.d/ y lo hacen arrancar al inicion con una herramienta como sysvconfig XD .

Con eso ya deben tener las reglas cargadas desde el inicio. Si algo anda mal con el firewall, la forma de borrar las reglas y dejar el firewall muerto es
iptables -F

NOTA. Las reglas se aplican en forma descendente, si se encuentra una coinsidencia en una de las reglas, inmediatamente se aplicará la accion ACCEPT o DROP (Rechazar en forma silenciosa). REJECT tambien puede ser usadoo como acción de rechazo, pero a diferencia de DROP, REJECT envia un mensaje ICMP al origen, que dice “Destino Inalcanzable”

Simple y Bonito XD

Ingeniero, enfocado en la familia y el cliente, emprendiendo y capitalizando lo aprendido por años.

Dedico algo de tiempo a compartir con ustedes mis experiencias sobre informática y tecnología porque en mas de una ocasión fui yo quien aprendí de otros a través de sitios como este.

4 Comments

  1. Reply

    El script que puse es lo mas basico que se me ocurrio para no tener problemas con conexiones y bloquear cualquier ingreso a puertos entre 1-1024.
    Si tienes un servidor ltsp supongo que debes habrir el puerto que ocupa em las sentencias de entrada.

    Con respecto a firestarter, no lo he testeado, pero sea como sea, ningun manejador gráfico de iptables es capaz de manejar todo lo que IPTABLES hace por medio de comandos. Corrigeme si estoy equivocado XD.

    Ademas, hay que ponerse en el caso de hacer soporte a un servidor remoto ¿Voy a usar firestarter para configurarle el firewall ? 😕

    Si quieres hacer que IPTABLES redirija trafico hacia otra interfaz hay que aplicar otro tipo de sentencias, lo que hice aqui es un simple filtro de trafico a partir de puertos.

  2. ghostdog

    Reply

    Esta bueno el script pero que pasa si quiero compartir internet con un segundo adaptador o tengo un servidor ltsp? Cual es tu opinion de firestarter?

Leave a comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.