Linux: Configura tu firewall con IPTables

Configurar un cortafuegos eficaz en Linux puede parecer una tarea complicada, pero hoy quiero desmitificar el proceso y ayudarte a proteger tu sistema de forma sencilla. Con IPTables, una herramienta integrada en el kernel de Linux, podemos gestionar qué tipo de tráfico permitimos o bloqueamos. 

A lo largo de este artículo, te guiaré paso a paso, como si estuviéramos configurándolo juntos frente a tu ordenador. Además, compartiré algunos trucos, anécdotas y detalles adicionales que me han facilitado la vida al usar esta poderosa herramienta.

¿Qué es un firewall y qué hace IPTables?

Un firewall, o cortafuegos, es una barrera de seguridad que filtra el tráfico de red, permitiendo o bloqueando conexiones según reglas predefinidas. En esencia, un firewall actúa como un vigilante en la frontera de tu red, asegurándose de que solo pase el tráfico permitido y bloqueando cualquier conexión sospechosa o no autorizada. Esta funcionalidad es clave para proteger la integridad y seguridad de tu sistema.

IPTables es la herramienta que Linux nos proporciona para esta tarea. No solo es potente, sino que ya viene integrada en el sistema, lo que significa que no necesitas instalar nada extra. Al estar incorporada directamente en el kernel de Linux, IPTables ofrece un rendimiento excelente, ideal tanto para usuarios domésticos como para entornos empresariales. 

Yo uso Ubuntu 20.04 LTS en mi sistema, y siempre verifico que IPTables esté listo simplemente ejecutando man iptables. Este comando te muestra toda la información necesaria sobre su uso, desde ejemplos prácticos hasta descripciones detalladas de los parámetros disponibles. Si nunca has trabajado con IPTables, dedicar unos minutos a leer su documentación puede marcar una gran diferencia.

Cuando hablamos de IPTables, trabajamos con tres cadenas principales, cada una desempeñando un papel específico dentro del flujo de tráfico de red:

• Input (Entrada): Filtra el tráfico dirigido hacia tu equipo, como solicitudes para acceder a tus servicios locales.
• Output (Salida): Gestiona el tráfico que tu equipo genera hacia otros dispositivos, como cuando navegas por Internet o envías correos.
• Forward (Reenvío): Se encarga del tráfico que pasa a través de tu equipo hacia otros dispositivos, normalmente usado en configuraciones de routers o gateways.

La versatilidad de estas cadenas te permite personalizar las reglas para ajustarlas a las necesidades de tu entorno. Por ejemplo, puedes crear reglas que permitan acceso solo a ciertos puertos o bloquear IPs específicas que representen una amenaza. En mi experiencia, una configuración bien pensada puede reducir enormemente los riesgos de seguridad.

En este tutorial, nos centraremos en las cadenas de entrada y salida, ideales para un cortafuegos personal. Esto significa que filtraremos tanto el tráfico que llega a nuestro equipo como el que enviamos al exterior. Si te interesa la configuración de un cortafuegos perimetral, lo veremos en próximos artículos. Los cortafuegos perimetrales son especialmente útiles en redes corporativas, ya que protegen todos los dispositivos conectados dentro de la red. Pero para un usuario individual, empezar con un cortafuegos personal es la mejor opción.

También es importante mencionar que IPTables permite no solo bloquear o permitir tráfico, sino también realizar otras acciones avanzadas como redirecciones de puertos, registro de tráfico sospechoso o limitación de ancho de banda. Estas funcionalidades convierten a IPTables en una herramienta extremadamente completa, capaz de adaptarse a escenarios muy diversos.

Una vez configuré mi sistema así y, al combinarlo con un antivirus gratis, logré una protección integral sin gastar un euro. Esta combinación es ideal para aquellos que buscan mantener su sistema seguro sin necesidad de invertir demasiado. Recuerda, la seguridad no solo es importante, sino imprescindible.

Configurando las reglas básicas

Borrar las reglas existentes

Antes de empezar, siempre es buena idea borrar cualquier regla anterior para evitar conflictos. Esto asegura que trabajemos desde una configuración limpia y sin interferencias. Para lograrlo, simplemente ejecuta el siguiente comando:

sudo iptables -F

Este comando elimina todas las reglas activas en las cadenas de IPTables. Es algo que nunca olvido hacer, especialmente después de un incidente en el que dejé reglas previas activas y terminé bloqueando el acceso a mi propio servidor. Desde entonces, siempre empiezo con una limpieza completa. ¡Es una medida simple que ahorra muchos dolores de cabeza!

Otra buena práctica es reiniciar los contadores de paquetes. Esto resulta útil cuando estamos probando reglas nuevas y queremos tener un registro limpio de cuánto tráfico pasa por cada regla:

sudo iptables -Z

Reiniciar los contadores es especialmente útil para depurar problemas. Por ejemplo, si una regla no está funcionando como esperas, los contadores te ayudarán a confirmar si el tráfico está llegando a esa regla o no.

Además, si tienes varias tablas activas (como nat o mangle), podrías querer limpiarlas también. Usa este comando para limpiar una tabla específica:

sudo iptables -t nat -F

Esto asegura que no queden configuraciones residuales que puedan interferir con las nuevas reglas que apliques.

Políticas por defecto

Cuando configuramos IPTables, es crucial establecer políticas predeterminadas para determinar cómo manejar el tráfico que no coincide con ninguna regla. Las políticas pueden configurarse para aceptar (ACCEPT) o denegar (DROP) el tráfico. Personalmente, prefiero una aproximación conservadora: denegar todo el tráfico por defecto y luego agregar reglas específicas para permitir solo lo necesario:

sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP

Esta estrategia minimiza los riesgos de seguridad al bloquear cualquier tráfico que no esté explícitamente permitido. Recuerdo cuando empecé a experimentar con esta configuración: aunque al principio me resultó un poco restrictiva, pronto descubrí que ofrecía una tranquilidad incomparable al saber que mi sistema estaba protegido.

Sin embargo, esta configuración también puede ser un arma de doble filo si no tienes cuidado. Bloquear todo implica que servicios esenciales como pings, navegación web o resolución de nombres (DNS) dejarán de funcionar hasta que habilites las reglas correspondientes. Por ejemplo, si necesitas permitir tráfico DNS para navegar, deberás agregar una regla específica para ello (algo que veremos más adelante en este artículo).

Otra consideración importante es el manejo de servicios locales. Por ejemplo, si tu sistema aloja un servidor web, necesitarás crear reglas para aceptar conexiones en el puerto 80 (HTTP) o 443 (HTTPS). De lo contrario, el cortafuegos bloqueará todas las solicitudes entrantes.

Finalmente, no olvides que las políticas predeterminadas también pueden configurarse de manera independiente para cada cadena (input, output, forward). Esto te permite un control granular sobre el tráfico:

sudo iptables -P FORWARD DROP

Con este enfoque, puedes estar seguro de que el tráfico no autorizado no pasará por tu sistema, mientras que las conexiones necesarias seguirán funcionando de forma controlada y segura.

Automatizando con scripts

Si trabajas frecuentemente con IPTables, te darás cuenta de que escribir comandos una y otra vez es tedioso. Mi solución es usar scripts. Este método no solo automatiza el proceso, sino que también te permite documentar tus configuraciones de manera clara y replicarlas en otros sistemas sin esfuerzo. ¿Cuántas veces has pensado: "ojalá pudiera guardar esta configuración para no repetirla"? Los scripts son esa solución.

Ventajas de usar scripts

Automatizar con scripts no solo ahorra tiempo, sino que reduce la posibilidad de cometer errores al escribir comandos manualmente. Además, te permite:

• Mantener un registro claro de tus configuraciones: Puedes comentar cada regla para recordar su propósito.

• Facilitar pruebas y ajustes: Si algo no funciona, puedes editar el script en lugar de reescribir comandos desde cero.

• Compartir configuraciones: Si gestionas varios sistemas, puedes reutilizar los mismos scripts en diferentes máquinas.

• Volver a configuraciones anteriores: Si un cambio no sale como esperas, puedes ejecutar tu script inicial para restaurar la configuración.

Ejemplo de script básico

Aquí tienes un ejemplo para configurar reglas básicas. Lo primero es crear un archivo llamado iptables_rules.sh:

#!/bin/bash
# Limpia reglas anteriores
iptables -F
# Configura políticas por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Permite tráfico necesario (lo veremos más adelante)

Configura permisos y ejecución

Dale permisos de ejecución al script:

chmod +x iptables_rules.sh

Luego, simplemente ejecútelo cuando lo necesites:

sudo ./iptables_rules.sh

Ejemplo avanzado: Scripts para diferentes escenarios

Imagina que necesitas diferentes configuraciones según el uso de tu sistema. Por ejemplo:

1. Script para navegación web:

#!/bin/bash
# Permitir navegación HTTP y HTTPS
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT

2.Script para pruebas internas:

#!/bin/bash
# Permitir tráfico ICMP para pruebas
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

3.Script para bloquear todo excepto SSH:

#!/bin/bash
# Limpiar reglas
iptables -F
# Permitir solo conexiones SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# Bloquear el resto del tráfico
iptables -P INPUT DROP
iptables -P OUTPUT DROP

Consejos prácticos

Documenta tu script: Usa comentarios para explicar cada regla. Por ejemplo:

# Permitir conexiones entrantes en el puerto 22 (SSH)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Prueba antes de aplicar: Si tienes dudas sobre una regla, prueba primero en un entorno de prueba.

Incluye una opción para restaurar: Agrega un script que limpie todas las reglas y restablezca las políticas por defecto. Por ejemplo:

#!/bin/bash
# Limpiar todas las reglas
iptables -F
iptables -X
# Establecer políticas por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

Automatizar con scripts no solo simplifica tu vida, sino que también eleva tu nivel de seguridad y eficiencia. Con una buena organización, puedes gestionar tu firewall de forma profesional y sin complicaciones. Si añades nuevos servicios o cambias configuraciones, un simple ajuste en tu script es suficiente para actualizar tu cortafuegos. Y lo mejor: puedes compartir estas soluciones con otros usuarios para que también se beneficien. 

Además, puedes crear scripts separados para distintos propósitos, como activar o desactivar servicios específicos. Por ejemplo, tengo uno para habilitar la navegación web y otro para pruebas internas en mi red local. ¡Esto me ha salvado en más de una ocasión!

Configurando reglas esenciales

Permitir pings (ICMP)

Para habilitar los pings (protocolo ICMP), necesitas reglas tanto para entrada como para salida. Estas reglas permiten que tu equipo envíe solicitudes de ping y reciba las respuestas correspondientes:

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

El protocolo ICMP es fundamental para diagnosticar problemas de conectividad en la red. Por ejemplo, si tu equipo no puede hacer ping a otros dispositivos, es probable que enfrentes dificultades para identificar errores en la configuración de tu red. Adicionalmente, puedes añadir más especificidad a estas reglas para permitir solo pings provenientes de direcciones IP confiables:

sudo iptables -A INPUT -p icmp --icmp-type echo-request -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -d 192.168.1.0/24 -j ACCEPT

Esto es útil en entornos corporativos o cuando gestionas una red doméstica con varios dispositivos. Además, puedes registrar los intentos de ping rechazados para mantener un control de seguridad:

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j LOG --log-prefix "Ping rechazado: "

Habilitar resolución DNS

La resolución de nombres es esencial para navegar por internet. Para permitir el tráfico DNS, utiliza:

sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p udp --sport 53 -j ACCEPT

El protocolo DNS utiliza principalmente UDP para consultas rápidas, pero también emplea TCP en escenarios específicos, como transferencias de zona entre servidores DNS. Asegúrate de cubrir ambos casos:

sudo iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 53 -j ACCEPT

Aquí es donde descubrí que algunos sistemas usan systemd-resolved y necesitan reglas específicas para la interfaz loopback. Añadir estas reglas también garantiza la resolución de nombres locales:

sudo iptables -A INPUT -i lo -p udp --dport 53 -j ACCEPT
sudo iptables -A OUTPUT -o lo -p udp --sport 53 -j ACCEPT

Además, puedes verificar que el servicio de resolución esté funcionando ejecutando comandos como:

dig google.com

Si ves respuestas correctas, significa que las reglas están funcionando correctamente.

Acceso web: HTTP y HTTPS

Para permitir la navegación web, configura reglas para los puertos 80 (HTTP) y 443 (HTTPS):

sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 443 -j ACCEPT

HTTP y HTTPS son los protocolos principales que permiten el acceso a sitios web. Mientras HTTP transmite información sin cifrar, HTTPS utiliza un cifrado seguro mediante certificados SSL/TLS. Puedes verificar que estas reglas estén activas utilizando herramientas como curl para realizar solicitudes a sitios web:

curl -I http://example.com
curl -I https://example.com

Si necesitas un control más detallado, también puedes limitar las direcciones IP o rangos desde los que permites conexiones. Por ejemplo, para aceptar solo tráfico HTTPS de una red específica:

sudo iptables -A INPUT -p tcp --sport 443 -s 203.0.113.0/24 -j ACCEPT

Además, es buena práctica registrar intentos de conexión rechazados para análisis de seguridad:

sudo iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "HTTP bloqueado: "

Recuerdo que al intentar acceder a una página con HTTPS, se quedaba cargando indefinidamente. Fue entonces cuando entendí la importancia de estas reglas. Comentarios claros en los scripts, como # Permitir tráfico HTTPS, también son muy útiles para identificar qué regla corresponde a cada servicio, especialmente si el script tiene muchas entradas.

Valoración final

Con estas configuraciones, tienes un cortafuegos básico pero eficaz. Permites solo el tráfico esencial: pings, resolución DNS y navegación web. El resto del tráfico queda bloqueado, ofreciendo una capa extra de seguridad.

Si sigues estos pasos, no solo aprenderás cómo funciona IPTables, sino que también ganarás confianza para experimentar con configuraciones más avanzadas. ¡Explora, prueba y ajusta hasta crear el entorno perfecto para tus necesidades! Y no te olvides de mantener tus scripts organizados y documentados para futuras referencias. 

¡Nos vemos en el próximo tutorial!