ACTIVIDAD 03

Interpretación y traducción de políticas de filtrado en iptables

📄 Descargar PDF Original

1. INTRODUCCIÓN CONTEXTUAL

El filtrado de paquetes es la piedra angular de la seguridad perimetral en sistemas Linux. Esta actividad se centra en la comprensión profunda de iptables, analizando el flujo de los paquetes a través de las distintas tablas y cadenas, así como la construcción de reglas sintácticas para permitir o denegar tráfico específico.

2. DESARROLLO TÉCNICO

Se estudió la anatomía de un comando iptables y el ciclo de vida de un paquete: primero pasa por una Tabla (Filter, NAT, Mangle), luego por una Cadena (INPUT, OUTPUT, FORWARD) y finalmente se ejecuta una Acción (ACCEPT, DROP).

Tablas Analizadas:

  • FILTER: Tabla por defecto para el filtrado de paquetes.
  • NAT: Usada para la traducción de direcciones de red (Network Address Translation).
  • MANGLE: Para la alteración de paquetes (TOS, TTL).
  • RAW: Configuración de excepciones de rastreo de conexiones.

3. MATERIAL MULTIMEDIA

Análisis de Regla Compleja (Ejercicio 6):

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 \ -m state --state NEW,ESTABLISHED -j ACCEPT

Interpretación: Se añade una regla a la cadena INPUT que permite tráfico entrante por la interfaz eth0. Usa el protocolo TCP y el módulo multiport para los puertos 22 (SSH), 80 (HTTP) y 443 (HTTPS). Crucialmente, define que el estado de la conexión debe ser NUEVA o ESTABLECIDA.


Traducción de Políticas a Comandos (Ejercicios 9 y 10):

Política Solicitada Comando Resultante
Permitir SSH solo desde IP 192.168.1.50 iptables -A INPUT -p tcp -s 192.168.1.50 --dport 22 -j ACCEPT
Permitir tráfico Web solo si es conexión establecida iptables -A INPUT -m multiport --dports 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT

4. OPINIÓN O REFLEXIÓN TÉCNICA

La granularidad que ofrece iptables permite implementar el principio de "mínimo privilegio" en la red. Entender conceptos como Stateful Packet Inspection (inspección de estado) es vital, ya que no basta con abrir puertos; es necesario validar el origen y el estado de la conexión (NEW vs ESTABLISHED) para prevenir ataques de spoofing o conexiones no solicitadas que podrían comprometer la integridad del servidor.

5. REFERENCIAS TÉCNICAS

  • Netfilter Project. (2024). iptables(8) man page.
  • RFC 4949. Internet Security Glossary (Conceptos de Firewalling).