7.2. Uso de iptables

El primer paso en el uso de iptables es iniciar el servicio iptables. Esto se puede llevar a cabo con el comando:

service iptables start

AvisoAviso
 

Los servicios ip6tables deberían ser desactivados para utilizar el servicio iptables con los siguientes comandos:

service ip6tables stop
chkconfig ip6tables off

Para hacer que iptables se inicie por defecto cada vez que se arranca el sistema, debe cambiar el estado del nivel de ejecución en el servicio usando chkconfig.

chkconfig --level 345 iptables on

La sintaxis de iptables está separada en niveles. El nivel principal es la cadena. Una cadena especifica el estado en el cual se puede manipular un paquete. El uso es como se muestra a continuación:

iptables -A chain -j target

La -A anexa una regla al final de un conjunto de reglas existente. La chain es el nombre de la cadena para una regla. Las tres cadenas embebidas de iptables(esto es, las cadenas que afectan cada paquete que atraviesa la red) son INPUT, OUTPUT, y FORWARD. Estas cadenas son permanentes y no se pueden borrar.

Las nuevas cadenas (también conocidas como cadenas definidas por el usuario) se pueden crear usando la opción -N. Es útil crear una nueva cadena para la personalización granulada o para crear reglas más elaboradas.

7.2.1. Políticas básicas del Cortafuegos

Establecer algunas políticas básicas desde el comienzo pueden servir como una base para la construcción de reglas más detalladas definidas por el usuario. iptables utiliza políticas (-P) para crear reglas por defecto. Los administradores orientados a la seguridad usualmente eligen descartar todos los paquetes como una política y solamente permiten paquetes específicos basados en el caso. Las reglas siguientes bloquean todo los paquetes entrantes y salientes en una puerta de enlace de red.

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Adicionalmente, se recomienda que cualquier paquete redirigido — el tráfico de la red que se debe enrutar desde el cortafuegos a su nodo destino — también se niegue, para restringir a los clientes internos de una exposición inadvertida a la Internet. Para hacer esto, utilice la regla siguiente:

iptables -P FORWARD DROP 

Después de configurar las cadenas de políticas, puede crear las nuevas reglas para su red y requerimientos de seguridad particulares. Las secciones siguientes resaltan algunas reglas que puede implementar en el curso de la construcción de su cortafuegos iptables.

7.2.2. Guardar y restaurar reglas iptables

Las reglas del cortafuegos son válidas únicamente mientras el computador esté encendido. Si se reinicia el sistema, las reglas son vaciadas y reiniciadas automáticamente. Para guardar las reglas para que estas se puedan cargar más tarde, utilice el comando siguiente:

/sbin/service iptables save

Las reglas son almacenadas en el archivo /etc/sysconfig/iptables y aplicadas cuando el servicio es iniciado o reiniciado, incluyendo cuando la máquina es reiniciada.