2.5.4. Filtraje de IPTables comunes
Evitar que los agresores remotos accedan a una LAN es uno de los aspectos más importantes de la seguridad de red. La integridad de una LAN se debe proteger de usuarios malintencionados remotos a través del uso de reglas rigurosas de cortafuegos.
Sin embargo, con una política predeterminada para bloquear todos los paquetes entrantes, salientes y reenviados, es imposible para los usuarios de cortafuegos o puertas de enlace y para que los usuarios internos de LAN comunicarse entre sí o con los recursos externos.
Para permitir a los usuarios realizar funciones relacionadas con la red y usar aplicaciones de redes, los administradores deben abrir algunos puertos de comunicación.
Por ejemplo, para permitir el acceso al puerto 80 en el cortafuegos, añada la siguiente regla:
[root@myServer ~ ] # iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
De esta manera los usuarios pueden navegar sitios web que se comunican mediante el puerto estándar 80. Para permitir el acceso a sitios de web seguros (por ejemplo, https://www.example.com/), debe dar acceso al puerto 443, así:
[root@myServer ~ ] # iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
Importante
Al crear un conjunto de reglas de
iptables
, el orden es importante.
Si la regla especifica que los paquetes de la subred 192.168.100.0/24 sean eliminados, y esté acompañada por la regla que permite paquetes desde 192.168.100.13 (los cuales están dentro de la subred eliminada), entonces la segunda regla se omitirá.
La regla que permite paquetes desde 192.168.100.13 debe preceder a la regla que elimina las restantes de la subred.
Para insertar una regla en un sitio específico en una cadena existente, use la opción
-I
. Por ejemplo:
[root@myServer ~ ] # iptables -I INPUT 1 -i lo -p all -j ACCEPT
Esta regla se inserta como la primera regla en la cadena de ENTRADA para permitir el tráfico de dispositivo de bucle local.
A veces cuando se requiera el acceso remoto a la LAN, los servicios seguros, por ejemplo SSH, sirven para conexión remota cifrada con los servicios de LAN.
Para los administradores con recursos basados en PPP (tales como bancos o cuentas masivas ISP), el acceso telefónico se puede usar para burlar las barreras de cortafuegos de forma segura. Debido a que son conexiones directas, las conexiones de módem están típicamente detrás de un cortafuegos o puerta de enlace.
Sin embargo, para usuarios remotos con conexiones de banda ancha, se pueden crear casos especiales. Puede configurar
iptables
para aceptar conexiones desde clientes remotos SSH. Por ejemplo, las siguientes reglas permiten el acceso remoto SSH:
[root@myServer ~ ] # iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@myServer ~ ] # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
Estas reglas permiten el acceso de entrada y salida para un sistema individual, tal como un computador personal conectado directamente a la Internet o a un cortafuegos o puerta de enlace. No obstante, no permiten que nodos detrás del cortafuegos o puerta de enlace accedan estos servicios. Para permitir el acceso de LAN a estos servicios, puede usar Traducción de dirección de red (NAT) con reglas de filtraje de
iptables
.