7.2. Uso de iptables
El primer paso en el uso de iptables es iniciar el servicio iptables. Esto se puede llevar a cabo con el comando:
service iptables start |
 | Aviso | |
|---|---|---|
Los servicios ip6tables deberían ser desactivados para utilizar el servicio iptables con los siguientes comandos:
|
Para hacer que iptables se inicie por defecto cada vez que se arranca el sistema, debe cambiar el estado del nivel de ejecución en el servicio usando chkconfig.
chkconfig --level 345 iptables on |
La sintaxis de iptables está separada en niveles. El nivel principal es la cadena. Una cadena especifica el estado en el cual se puede manipular un paquete. El uso es como se muestra a continuación:
iptables -A chain -j target |
La -A anexa una regla al final de un conjunto de reglas existente. La chain es el nombre de la cadena para una regla. Las tres cadenas embebidas de iptables(esto es, las cadenas que afectan cada paquete que atraviesa la red) son INPUT, OUTPUT, y FORWARD. Estas cadenas son permanentes y no se pueden borrar.
Las nuevas cadenas (también conocidas como cadenas definidas por el usuario) se pueden crear usando la opción -N. Es útil crear una nueva cadena para la personalización granulada o para crear reglas más elaboradas.
7.2.1. Políticas básicas del Cortafuegos
Establecer algunas políticas básicas desde el comienzo pueden servir como una base para la construcción de reglas más detalladas definidas por el usuario. iptables utiliza políticas (-P) para crear reglas por defecto. Los administradores orientados a la seguridad usualmente eligen descartar todos los paquetes como una política y solamente permiten paquetes específicos basados en el caso. Las reglas siguientes bloquean todo los paquetes entrantes y salientes en una puerta de enlace de red.
iptables -P INPUT DROP iptables -P OUTPUT DROP |
Adicionalmente, se recomienda que cualquier paquete redirigido — el tráfico de la red que se debe enrutar desde el cortafuegos a su nodo destino — también se niegue, para restringir a los clientes internos de una exposición inadvertida a la Internet. Para hacer esto, utilice la regla siguiente:
iptables -P FORWARD DROP |
Después de configurar las cadenas de políticas, puede crear las nuevas reglas para su red y requerimientos de seguridad particulares. Las secciones siguientes resaltan algunas reglas que puede implementar en el curso de la construcción de su cortafuegos iptables.
7.2.2. Guardar y restaurar reglas iptables
Las reglas del cortafuegos son válidas únicamente mientras el computador esté encendido. Si se reinicia el sistema, las reglas son vaciadas y reiniciadas automáticamente. Para guardar las reglas para que estas se puedan cargar más tarde, utilice el comando siguiente:
/sbin/service iptables save |
Las reglas son almacenadas en el archivo /etc/sysconfig/iptables y aplicadas cuando el servicio es iniciado o reiniciado, incluyendo cuando la máquina es reiniciada.