Nefilter (IpTables) - Entendiendo las Reglas del Juego

Como se indicó anteriormente, para el uso de Netfilter, es necesario utilizar, ademas de los módulos del kernel, la utilidad IPTables.

A traves del comando iptables, es posible insertar/eliminar/modificar reglas dentro de Netfilter. Algunas de las caracteristicas de esta herramientas son:

• Permite el uso de distintas tablas de IP. Mientras tanto, sólo existen 3 (filter, nat y mangle), pero permite el manejo de futuras tablas.
• Permite el uso de plug-ins para nuevos coincidencias y acciones. Así, no es necesario modificar, los módulos o IPtables, para agregar una extensión adicional.
• Nativamente, puede manejar IPv4 e IPv6, usando la misma librería y el mismo código.

Un comando básico de IPTables esta compuesto de 5 partes, que son

• la tabla a usar (filter, nat o mangle)
• la cadena a usar, que puede ser una de las cadenas por defecto (INPUT, por ejemplo) o bien cadenas creadas por el usuario.
• la operación (insertar/modificar/eliminar/etc)
• una descripcion de los paquetes que deben coincidir con esta regla (la "coincidencia")
• un destino (target) para esta regla particular

NOTA : Cuando no se indica la tabla a usar, por defecto se usa la tabla "filter". ]]

---

Por ejemplo

# iptables -t [tabla] -[operacion] [cadena] [descripcion de la coincidencia] -j [accion]

NOTA : en algunas publicaciones pueden encontrar ejemplos del tipo # iptables -t tabla -j [accion] -[operacion] [etc/etc..] lo que indica que el orden no altera el producto :-)

Algunas de las operaciones básicas sobre las cadenas (existen más) son

• A (add) : agrega una regla al final de la cadena
• I (insert) : agrega una regla al principio de la cadena
• R (replace) : reemplaza una regla por otra
• D (delete) : elimina una regla
• F (flush) : elimina todas las reglas de la cadena. Es equivalente a borrar las reglas una por una
• L (list) : muestra las reglas dentro de la cadena

Para indicar a Netfilter que hacer con los paquetes de una transacción, se debe crear una coincidencia, lo más precisa posible. La idea es que la coincidencia sea inequívoca, tanto como para quien creó la regla (usuario) como para el kernel.

Algunas coincidencias básicas son

• -p [protocolo] : indica que protocolo debe realizarse la comprobacion. Algunos de los valores son tcp, udp, icmp o all. Tambien puede ser un numero, o alguno de los indicados en /etc/protocols.
• -s [ip/mascara] : indica la direccion IP del origen de la transacción. Puede indicarse tambien de la forma IP/máscara para decirle a Netfilter que es un grupo de hosts.
• -d [ip/mascara] : indica la dirección IP destino de la transacción.
• -i [interfaz] : indica la interfaz de entrada desde donde se recibió la transacción o los paquetes. (Nota: solo usado por las cadenas INPUT, FORWARD y PREROUTING)
• -o [interfaz] : indica la interfaz de salida de la transacción (Nota: sólo usada por OUTPUT, FORWARD y POSTROUTING)
• --sport : Indica el puerto de origen de la transacción.
• --dport : Indica el puerto de destino de la transacción. (Nota : --sport y --dport son usados cuando se indica que el protocolo es tcp o udp solamente)

Algunas acciones son comunes de todas las cadenas. Otras, son específicas.

Algunas acciones básicas son

• ACCEPT : aceptar el paquete/transacción.
• DROP : rechaza el paquete/transacción
• REJECT : rechaza el paquete/transacción. A diferencia de DROP, notifica al emisor que el paquete/transacción fue descartado.