iptables (Español)
iptables es una utilidad de línea de órdenes para configurar el cortafuegos del kernel de Linux implementado como parte del proyecto Netfilter. El término iptables también se usa comúnmente para referirse a dicho cortafuegos del kernel. Puede configurarse directamente con iptables, o usando uno de los muchos frontend existentes de consola y gráficos. El término iptables se usa para IPv4, y el término ip6tables para IPv6. Tanto iptables como ip6tables tienen la misma sintaxis, pero algunas opciones son específicas de IPv4 o de IPv6.
nftables está programada para ser liberada con el kernel de Linux 3.13, y vendrá a sustituir definitivamente iptables como la principal utilidad del cortafuegos de Linux.
Instalación
Todos los kernels de serie de Arch Linux son compatibles con iptables. Solo necesita instalar las herramientas en el espacio de usuario, que son proporcionadas por el paquete . El paquete iproute2 presente en el grupo depende de iptables, por lo que el paquete iptables debe estar instalado en su sistema por defecto.
De consola
- Firetable — Herramienta para mantener un cortaguegos de IPtables. Cada interfaz se puede configurar por separado a través de su propio archivo de configuración, que tiene una sintaxis fácil de leer.
- Shorewall — Herramienta de alto nivel para configurar Netfilter. Se describen los requisitos del cortafuegos/puerta de enlace usando las entradas presentes en un conjunto de archivos de configuración.
Gráficos
Conceptos básicos
iptables se usa para inspeccionar, modificar, reenviar, redirigir y/o eliminar paquetes de red de IP. El código para filtrar paquetes de IP ya está integrado en el kernel y está organizado en una colección de tablas, cada una con un propósito específico. Las tablas están formadas por un conjunto de cadenas predefinidas, y las cadenas contienen reglas que se recorren en orden consecutivo. Cada regla consiste en una condición asociada a una eventual acción (llamada target) que si se cumple, se ejecuta la regla; esto es, se aplican las reglas si las condiciones coinciden. iptables es la utilidad de usuario que le permite trabajar con estas cadenas/reglas. La mayoría de los usuarios nuevos consideran que las complejidades del enrutamiento IP de linux son bastante desalentadoras, pero, en la práctica, los casos de uso más comunes (NAT y/o cortafuegos básico de Internet) son considerablemente menos complejos.
La clave para entender cómo funciona iptables es este gráfico. La palabra minúscula en la parte superior es la tabla y la palabra en mayúscula siguiente es la cadena. Cada paquete de IP que viene en «cualquier interfaz de red» pasa a través de este diagrama de flujo de arriba hacia abajo. Una confusión muy común es creer que los paquetes que ingresan desde, (digamos, para entendernos), una interfaz interna para consumo interno, se manejan de forma diferente a los paquetes desde una interfaz orientada a Internet. Todas las interfaces se manejan de la misma manera. Depende de uno definir las reglas que las traten de manera diferente. Por supuesto, algunos paquetes están destinados a procesos locales, por lo tanto, vienen desde la parte superior del gráfico y se detienen en <Proceso local>; mientras que otros paquetes son generados por procesos locales; por lo tanto, comienzan en <Proceso local> y continúan hacia abajo a través del diagrama de flujo. Puede encontrar una explicación detallada de cómo funciona este diagrama de flujo aquí.
En la gran mayoría de los casos, no será necesario utilizar las tablas raw, mangle, o security a la vez. En consecuencia, el siguiente cuadro muestra un flujo simplificado de paquetes de red a través de iptables:
XXXXXXXXXXXXXXXXXX
XXX Red XXX
XXXXXXXXXXXXXXXXXX
+
|
v
+--------------+ +-------------------+
|tabla: filter| <---+ | tabla: nat |
|cadena: INPUT | | | cadena: PREROUTING|
+-----+--------+ | +--------+----------+
| | |
v | v
[proceso local] | ************************ +---------------+
| +---+ Decisión de enrutamiento +---> |tabla: filter |
v ************************ |cadena: FORWARD|
************************ +------+--------+
Decisión de enrutamiento |
************************ |
| |
v ************************ |
+--------------+ +---+ Decisión de enrutamiento <------------+
|tabla: nat | | ************************
|cadena: OUTPUT| | +
+-----+--------+ | |
| | v
v | +--------------------+
+---------------+ | | tabla: nat |
|tabla: filter | +---+ | cadena: POSTROUTING|
|cadena: OUTPUT | +--------+-----------+
+---------------+ |
v
XXXXXXXXXXXXXXXXXX
XXX Red XXX
XXXXXXXXXXXXXXXXXX
Tablas
iptables cuenta con cinco tablas:
rawfiltra los paquetes antes que cualquier otra tabla. Se utiliza principalmente para configurar exenciones de seguimiento de conexiones en combinación con el objetivo .- es la tabla por defecto (si no se pasa la opción ).
- se utiliza para la traducción de direcciones de red (por ejemplo, el redirección de puertos). Debido a las limitaciones en iptables, el filtrado no se debe hacer aquí.
- se utiliza para la alteración de los paquetes de red especializados (véase Mangles packet).
- se utiliza para reglas de conexión de red Mandatory Access Control (por ejemplo, SELinux —consulte este artículo para obtener más detalles—).
En la mayoría de los casos al uso, solo utilizará dos de estas tablas: filter y nat. Las otras tablas están destinadas a configuraciones complejas que afectan a múltiples enrutadores y decisiones de enrutamiento que, en cualquier caso, quedan fuera de las explicaciones de este artículo.
Cadenas
Las tablas contienen cadenas, que son listas de reglas que se siguen consecutivamente. Por defecto, la tabla contiene tres cadenas integradas: , y que se activan en diferentes puntos del proceso de filtrado de paquetes de red, como se ilustra en el diagrama de flujo. La tabla nat incluye las cadenas PREROUTING, , y .
Véase para obtener una descripción de las cadenas integradas en otras tablas.
Por defecto, ninguna de las cadenas contiene ninguna regla. Depende de uno agregar reglas a las cadenas que quiera usar. Las cadenas hacen lo definido en su política predeterminada, que generalmente se establece en ACCEPT, pero se puede restablecer a , si quiere asegurarse de que nada se desliza a través de su conjunto de reglas. La política predeterminada siempre se aplica al final de una cadena solamente. Por lo tanto, el paquete de red debe pasar por todas las reglas existentes en la cadena antes de aplicar la política predeterminada.
El usuario puede definir las reglas de las cadenas para hacerlas más eficientes o más fácilmente modificable. Consulte Simple stateful firewall (Español) para ver un ejemplo de cómo se usan las cadenas definidas por el usuario.
Reglas
El filtrado de los paquetes de red se basa en rules —«reglas»—, que se especifican por diversos matches —«coincidencias»— (condiciones que el paquete de red debe satisfacer para que la regla se puede aplicar), y un target—«objetivo»— (acción a tomar cuando el paquete coincide con la condición plenamente). The typical things a rule might match on are what interface the packet came in on (e.g eth0 or eth1), what type of packet it is (ICMP, TCP, or UDP), or the destination port of the packet.
Los targets se especifican mediante la opción o —«salto»—. Los targets pueden ser bien cadenas definidas por el usuario, bien uno de los targets integrados especiales, o bien una extensión de target. Los targets integrados son ACCEPT, , y ; las extensiones de target son, por ejemplo, y LOG. Si el objetivo es un target integrado, el destino del paquete es decidido inmediatamente y el procesamiento del paquete de red en la tabla actual se detiene. Si el objetivo («target») es una cadena definida por el usuario y el paquete supera con éxito esta segunda cadena, se moverá a la siguiente regla de la cadena original. Las extensiones de target pueden ser tanto terminating (como los targets integrados) como non-terminating (como las cadenas especificadas por el usuario), Véase para obtener más detalles
Cadenas transversales
Un paquete de red recibido en cualquier interfaz atraviesa las cadenas de control de tráfico de las tablas en el orden que se muestra en el diagrama de flujo. La primera decisión de enrutamiento implica decidir si el destino final del paquete es el equipo local (en cuyo caso el paquete atraviesa las cadenas ) o va a otro lugar (en cuyo caso el paquete atraviesa las cademas cadenas). Las decisiones de enrutamiento posteriores implican decidir qué interfaz asignar a un paquete saliente. En cada cadena subsiguiente, cada regla de esa cadena se atraviesa en el orden fijado, y siempre que una regla coincida, se ejecuta la acción, target/jump, correspondiente. Los 3 objetivos (targets) más comúnmente utilizados son ACCEPT, y jump para una cadena definida por el usuario. Mientras que las cadenas integradas pueden tener políticas predeterminadas, las cadenas definidas por el usuario no pueden. Si todas las reglas de una cadena no proporcionan una coincidencia completa que permita ejecutarla, el paquete se devuelve a la cadena de llamadas como se ilustra aquí. Si en algún momento se logra una coincidencia completa para una regla con un objetivo , el paquete se descarta y no se realiza ningún otro procesamiento. Si un paquete está ACCEPT dentro de una cadena, también estará en todas las cadenas del superconjunto y no atravesará ninguna cadena más de ese superconjunto. Sin embargo, tenga en cuenta que el paquete continuará atravesando todas las demás cadenas en otras tablas de la manera descrita.
Módulos
Hay muchos módulos que pueden ser utilizados para reforzar iptables, como connlimit, conntrack, limit y recent. Estos módulos añaden funcionalidad extra al permitir reglas de filtrado avanzadas.
Configuración y utilización
iptables es un servicio de systemd (Español) y estará predispuesto a iniciarse adecuadamente. Sin embargo, el servicio no se iniciará a menos que encuentre un archivo /etc/iptables/iptables.rules, que no es proporcionado por el paquete de Arch. Por tanto, para iniciar el servicio por primera vez, ejecute:
# touch /etc/iptables/iptables.rules
o
# cp /etc/iptables/empty.rules /etc/iptables/iptables.rules
Luego, inicie la unidad . Al igual que con otros servicios, si desea que iptables se cargue automáticamente en el arranque, debe activarlo.
Las reglas de iptables para IPv6 se almacenan de manera predeterminada en el archivo , que es leído por . Puede iniciarlo de la misma manera que hemos visto arriba.
Después de añadir reglas a través de la línea de órdenes como se muestra en las siguientes secciones, el archivo de configuración no guarda los cambios automáticamente —tiene que guardarlos manualmente—, así:
# iptables-save > /etc/iptables/iptables.rules
Si modifica el archivo de configuración manualmente, debe recargar iptables.
O puede cargarlo directamente a través de iptables:
# iptables-restore < /etc/iptables/iptables.rules
Mostrar las reglas vigentes
La órden básica para listar las reglas en vigor es (), que es similar en formato de salida a la utilidad iptables-save. La diferencia principal entre las dos es que este último genera las reglas de todas las tablas por defecto, mientras que todos las órdenes de iptables están predeterminadas solo para la tabla .
Al trabajar con iptables en la línea de órdenes, la orden --list () acepta más modificadores y muestra más información. Por ejemplo, puede verificar el conjunto de reglas en vigor y el número de visitas por regla usando la orden:
Si el resultado es similar a lo de arriba, entonces no hay reglas (es decir, nada está bloqueado) en la tabla predeterminada . Se puede especificar otra tabla con la opción .
Para mostrar los números de línea cuando se enumeran las reglas, anexe a dicha entrada. Los números de línea son una abreviatura útil cuando modifica reglas en la línea de órdenes.
Restablecer las reglas
Puede vaciar y restablecer la configuración, por defecto, de iptables utilizando las siguientes órdenes:
# iptables -F # iptables -X # iptables -t nat -F # iptables -t nat -X # iptables -t mangle -F # iptables -t mangle -X # iptables -t raw -F # iptables -t raw -X # iptables -t security -F # iptables -t security -X # iptables -P INPUT ACCEPT # iptables -P FORWARD ACCEPT # iptables -P OUTPUT ACCEPT
La orden sin argumentos vuelca todas las cadenas en su tabla actual. Del mismo modo, -X elimina todos las cadenas vacías no predeterminadas en una tabla.
Las cadenas individuales pueden ser eliminadas o borradas con y -X seguidas de un argumento .
Modificar las reglas
Las reglas pueden ser añadidas o bien como un apéndice a las reglas o a las cadenas, o bien insertarlas en una específica posición en la cadena. Exploraremos ambos métodos.
Antes de nada, nuestro equipo no es un router (salvo que, por supuesto, lo sea). Cambiaremos la política, por defecto, en la cadena , de ACCEPT a .
El servicio LAN de sincronización de Dropbox tiene la característica de transmitir paquetes de red cada 30 segundos a todos los equipos que estén en su área inalámbrica. Si estamos en una zona LAN con clientes de Dropbox y no usamos esta característica, entonces podríamos quererla para rechazar los paquetes.
# iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:17500 reject-with icmp-port-unreachable Chain FORWARD (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination
Ahora, supongamos que decidimos utilizar Dropbox e instalarlo en nuestro ordenador. También queremos la sincronización LAN, pero solo con una IP en particular en nuestra red. Así que debemos utilizar para sustituir nuestra antigua regla. Donde es nuestra otra IP:
Hemos reemplazado nuestra regla original con otra que nos permite usar para acceder al puerto de nuestro equipo. Pero ahora nos damos cuenta de que este no es escalable. Si un usuario amigable de Dropbox está intentando acceder al puerto de nuestro dispositivo, se debe permitir acceder de inmediato, sin comprobación frente a cualquier regla de firewall que esté detrás.
Así que escribimos una nueva regla para permitir que nuestro usuario de confianza acceda inmediatamente. Utilizaremos para insertar la nueva regla antes de la antigua:
Y reemplazar nuestra segunda regla con otra que rechace todo lo demás que entre al puerto :
# iptables -R INPUT 2 -p tcp --dport 17500 -j REJECT --reject-with icmp-port-unreachable
La lista de nuestra regla final ahora se vería así:
# iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT tcp -- * * 10.0.0.85 0.0.0.0/0 tcp dpt:17500 /* Friendly Dropbox */ 2 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:17500 reject-with icmp-port-unreachable Chain FORWARD (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination
Registro
El objetivo LOG se puede utilizar para registrar los paquetes de red que satisfacen una regla. A diferencia de otros targets, como ACCEPT o , el paquete de red continuará moviéndose a través de la cadena después de alcanzar un target LOG. Esto significa que, para activar el registro de todos los paquetes de red perdidos, se tendría que agregar una regla LOG duplicada antes de cada regla DROP. Como esto reduce la eficiencia y hace que las cosas sean menos simples, se puede crear, en su lugar, una cadena logdrop.
Cree la cadena con:
# iptables -N logdrop
Y añada las siguientes reglas a la cadena recién creada:
# iptables -A logdrop -m limit --limit 5/m --limit-burst 10 -j LOG # iptables -A logdrop -j DROP
La explicación de las opciones y son dadas a continuación.
Ahora, cada vez que queremos soltar un paquete de red y registrar este evento, simplemente saltamos a la cadena logdrop, por ejemplo:
# iptables -A INPUT -m conntrack --ctstate INVALID -j logdrop
Limitar el tamaño del registro
La cadena de arriba (logdrop) utiliza el módulo limit para prevenir que el registro de iptables se haga demasiado grande o haga que el disco duro se escriba innecesariamente. Sin limitación, un atacante podría llenar el disco (o al menos la partición ) causando la saturación del registro de iptables.
se utiliza para llamar al módulo limit. Puede usar para utilizar una tasa promedio y para establecer una tasa de ráfaga («limit burst») inicial. En el ejemplo de logdrop de arriba:
iptables -A logdrop -m limit --limit 5/m --limit-burst 10 -j LOG
Esto agrega una regla a la cadena logdrop que registra todos los paquetes de red que pasan a través de ella. Los primeros 10 paquetes serán registrados, y de ahí en adelante quedarán registrados únicamente 5 paquetes por minuto. El «limit burst» es restaurado a uno cada vez que la «tasa límite» no se supera.
Visualizar los paquetes registrados
Los paquetes registrados son visibles como mensajes del kernel con el journal de systemd.
Para ver todos los paquetes que se registraron desde la última vez que se reinició el equipo:
# journalctl -k | grep "IN=.*OUT=.*" | less
syslog-ng
Asumiendo que usa syslog-ng, puede controlar donde será guardada la salida del registro de iptables, de este modo:
filter f_everything { level(debug..emerg) and not facility(auth, authpriv); };
a
filter f_everything { level(debug..emerg) and not facility(auth, authpriv) and not filter(f_iptables); };
Esto evitará la salida del registro de iptables en el archivo .
Si quiere que el registro de iptables se vuelque en un archivo distinto de /var/log/iptables.log, basta con cambiar el valor de destino de (siempre en el archivo syslog-ng.conf).
destination d_iptables { file("/var/log/iptables.log"); };
ulogd
ulogd es un demonio especializado en el registro de los paquetes de red ejecutado en el espacio de usuario para netfilter que puede sustituir el objetivo LOG predeterminado. El paquete está disponible en el repositorio .
Véase también
- Wikipedia article
- Port knocking
- Official iptables web site
- iptables Tutorial 1.2.2 por Oskar Andreasson
- Debian Wiki - iptables
- Secure use of connection tracking helpers