Configuración de un firewall de Linux con iptables

Si necesita un buen firewall para su servidor o escritorio Linux, iptables es una excelente opción. Es muy flexible y rápido. En esta guía, le mostraremos cómo configurar un firewall de iptables en Linux.

Instalación de iptables en Linux

Para configurar el Firewall con iptables en su sistema Linux , primero debe instalarlo. Abra una ventana de terminal y siga las instrucciones de instalación a continuación para su sistema operativo Linux. Iptables se puede instalar tanto en escritorios como en servidores Linux, y si prefiere una descarga genérica de Linux de iptables, puede visitar el sitio web oficial . Una vez completada la instalación, puede proceder a configurar su Firewall con iptables.

Instrucciones de Ubuntu

sudo apt instalar iptables

Instrucciones de Debian

sudo apt-get install iptables

Instrucciones de Arch Linux

sudo pacman -Siptables

Instrucciones de Fedora

sudo dnf instalar iptables

Instrucciones de OpenSUSE

sudo sudo zypper en iptables

Distribuciones EPEL (Rhel, CentOS, Rocky, Alma, etc.)

sudo yum instalar iptables

Cómo crear un conjunto de reglas de iptables

Debe crear un nuevo conjunto de reglas de iptables antes de intentar utilizarlo como cortafuegos. Abra una ventana de terminal y asegúrese de que puede ingresar comandos sudo . Si su usuario no puede, inicie sesión en la cuenta raíz con su .

Desde aquí, use el comando iptables -F . Este comando eliminará y vaciará todas las reglas anteriores para iptables en su sistema.

sudo iptables -F

Después de ejecutar el comando anterior, puede ejecutar el comando iptables -L para verificar y confirmar que se borraron las reglas.

sudo iptables -L

Una vez que haya confirmado que las reglas de iptables se han vaciado, use el comando iptables -P a continuación para bloquear el tráfico entrante de manera predeterminada.

ADVERTENCIA: si está editando iptables a través de SSH, desconéctese y edite en la máquina física. Ejecutar el siguiente comando lo desconectará automáticamente de SSH hasta que lo permita a través del firewall.

sudo iptables -P ENTRADA DROP

A continuación, debe permitir el tráfico saliente desde su sistema a través de iptables. Puede permitir el tráfico saliente a través del firewall de iptables ingresando el siguiente comando iptables -P .

sudo iptables -P SALIDA ACEPTAR

Una vez que haya deshabilitado el tráfico entrante y habilitado el tráfico saliente, pase a permitir servicios específicos.

Cómo permitir puertos a través del firewall de iptables

De manera predeterminada, ejecutar iptables -P INPUT DROP deshabilita el tráfico entrante de todas las fuentes (SSH, HTTP, etc.). Para habilitar estos servicios, deberá agregar reglas a sus iptables.

Para simplificar las cosas, aquí hay una lista de puertos comunes que quizás desee habilitar en su firewall de iptables. Copie el comando asociado con el puerto que desea habilitar a través de su firewall de iptables.

• HTTP (puerto 80):sudo iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
• HTTPS (puerto 443):sudo iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
• SSH (puerto 22):sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
• FTP (puerto 21):sudo iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
• SMTP (puerto 25):sudo iptables -A INPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
• DNS (puerto 53): sudo iptables -A INPUT -p udp --dport 53 -j ACCEPTpara UDP o sudo iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPTpara TCP
• DNS sobre TLS (DoT) (puerto 853):sudo iptables -A INPUT -p tcp --dport 853 -m state --state NEW,ESTABLISHED -j ACCEPT
• DNS sobre HTTPS (DoH) (puerto 443):sudo iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
• Protocolo de escritorio remoto (RDP) (puerto 3389):sudo iptables -A INPUT -p tcp --dport 3389 -m state --state NEW,ESTABLISHED -j ACCEPT
• Informática de red virtual (VNC) (puerto 5900):sudo iptables -A INPUT -p tcp --dport 5900 -m state --state NEW,ESTABLISHED -j ACCEPT
• Secure Shell (SSH) con reenvío X11 (puerto 6010):sudo iptables -A INPUT -p tcp --dport 6010 -m state --state NEW,ESTABLISHED -j ACCEPT
• Base de datos MySQL (puerto 3306):sudo iptables -A INPUT -p tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
• Base de datos PostgreSQL (puerto 5432):sudo iptables -A INPUT -p tcp --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT

Cuando haya permitido todos los puertos que desea permitir, puede verificar sus reglas con iptables -L .

sudo iptables -L

Finalmente, guarde sus reglas de iptables en un archivo para fines de copia de seguridad. Puede hacer esto con el comando iptables-save .

sudo iptables-save > /ruta/guardar/dónde/usted/desea/guardar/reglas/iptable-rules-backup

Cómo restaurar copias de seguridad de iptables

Si necesita volver a implementar su firewall de iptables en otra máquina, esto es lo que debe hacer. Primero, use el comando iptables -F para vaciar las reglas existentes.

sudo iptables -F

A continuación, copie su archivo de copia de seguridad en el sistema. Una vez que se haya copiado, restaure la copia de seguridad.

sudo iptables-restore <>