LinuxParty
🔐 Cómo crear chains reutilizables en iptables para una gestión de firewall más eficiente
Cuando administramos un firewall con iptables, mantener las reglas organizadas y comprensibles se vuelve esencial, especialmente a medida que el número de reglas crece. En lugar de tener una lista desordenada y difícil de mantener, podemos crear chains personalizadas reutilizables, lo que nos permite aplicar lógicas de filtrado específicas en distintos puntos del proceso.
Usar cadenas personalizadas en iptables es una práctica que facilita la gestión del firewall, especialmente en entornos con múltiples servicios y rangos IP cambiantes. Esta técnica no solo mejora la legibilidad y el mantenimiento del sistema, sino que permite una gestión más modular y segura de las reglas de red.
🎯 Objetivo del ejemplo
Supongamos un caso práctico y simplificado: tenemos un sistema Linux con un proxy escuchando en el puerto 3128 (por ejemplo, Squid), y queremos permitir el acceso remoto únicamente desde ciertos rangos de IP. Hasta ahora, la regla existente es la siguiente:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- anywhere anywhere tcp dpt:squid reject-with tcp-reset
❌ Problema
Agregar directamente los rangos permitidos al chain INPUT funcionaría, pero se volvería inmanejable si:
-
Aumentan los rangos de IP permitidos.
-
Se habilitan otros puertos para los mismos rangos.
Para evitar este desorden, la solución es crear una nueva cadena personalizada.
🛠️ Paso a paso
1. Crear una nueva cadena: EXTERNOS
# iptables -N EXTERNOS
Podemos verificar que se ha creado correctamente:
# iptables -L
Chain EXTERNOS (0 references)
target prot opt source destination
2. Añadir rangos IP permitidos
Ahora agregamos las IP o rangos autorizados en esta nueva cadena:
# iptables -A EXTERNOS -s 84.88.0.0/24 -j ACCEPT
# iptables -A EXTERNOS -s 213.55.111.66/32 -j ACCEPT
3. Añadir reglas de rechazo y caída
Agregamos un rechazo con tcp-reset para conexiones no autorizadas, y finalmente un DROP para el resto:
# iptables -A EXTERNOS -p tcp -j REJECT --reject-with tcp-reset
# iptables -A EXTERNOS -j DROP
Esto asegura que conexiones no autorizadas reciban una respuesta rápida (evitando aparecer como "filtered" en escaneos nmap) y que todo lo demás se descarte silenciosamente.
4. Sustituir la regla original en INPUT
Primero, eliminamos la regla genérica anterior:
# iptables -D INPUT -i eth0+ -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
Luego, redirigimos ese tráfico a la nueva chain EXTERNOS:
# iptables -A INPUT -i eth0+ -p tcp --dport 3128 -j EXTERNOS
✅ Resultado esperado
Al ejecutar:
# iptables -L -nv
Deberías ver algo como esto:
Chain INPUT (policy ACCEPT)
pkts bytes target prot opt in out source destination
10 440 EXTERNOS tcp -- eth0+ * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
Chain EXTERNOS (1 references)
pkts bytes target prot opt in out source destination
8 336 ACCEPT all -- * * 84.88.0.0/24 0.0.0.0/0
0 0 ACCEPT all -- * * 213.55.111.66 0.0.0.0/0
2 104 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
💾 Guardar configuración
Para mantener las reglas tras un reinicio, guarda la configuración:
# /etc/init.d/iptables save
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
🔁 Ventajas de usar chains reutilizables
-
✅ Centralizas el control de IPs autorizadas.
-
✅ Puedes aplicar la chain
EXTERNOSa otros puertos sin duplicar reglas. -
✅ Para añadir o eliminar IPs, solo modificas una cadena.
Ejemplo: Si mañana necesitas habilitar el puerto 22 para los mismos rangos:
# iptables -A INPUT -i eth0+ -p tcp --dport 22 -j EXTERNOS
Escribir un comentario
A vueltas con el viejo tema... "Facturar sin ser autónomo" un lector nos manda este artículo... ¿Tenemos que hacernos autónomos para facturar si escribimos en un blog? ¿Cómo pueden facturar los diseñadores gráficos, escritores en blogs, traductores y demás pequeños colaboradores que ingresan una pequeña cantidad mensual?
Esta es la pregunta que todos los que tenemos un blog o hemos participado en otras actividades relacionadas nos hemos hecho alguna vez. Empezamos a escribir para otros y ganamos una pequeña cantidad de dinero, por la cual no compensa hacerse autónomo ya que el pago de esta cuota es superior a lo que ingresamos, o nos dejaría con apenas beneficio.
Casi siempre que se habla de estadísticas sobre Linux se dice que los
usuarios de Linux no superan el 1% y que los de Mac el 8% dejando el
resto al gigante de Redmond: Microsoft. Es algo poco creíble porque
cada día me encuentro con más personas que utilizan Linux, de hecho, si
solo fuésemos el 1% los usuarios de Linux seríamos más difíciles de
encontrar que un unicornio.
Cierto es que los juegos no abundan en Linux, pero también es verdad que de vez en cuando salen algunos a ser tomados muy en cuenta. Es el caso de Planeshift, un MMORPG al estilo World of Warcraft que hará las delicias de los más “viciaos”.
Este juego se ha desarrollado con licencia GPL en casi todo su código, con lo que es casi libre en su totalidad. Lo único que conserva con licencias privativas son el arte gráfico, los textos de la página web y el contenido del juego en forma de diálogos, nombres de personajes etc.
* Estructura de un programa en C
1. Sentencias de E/S
2. printf
3. Caracteres de Escape
4. Utilizar variables en los programas
5. scanf
* Más sentencias de E/S
1. gets
2. puts
3. getch
4. putch
5. getche
6. getchar
Indicarle que, cada programa es un conjunto de sentencias, y cada sentencia es una instrucción (o más de una) para el equipo, que es una colección de constantes, variables, operadores y declaraciones.
1. Sentencias de E/S
2. printf
3. Caracteres de Escape
4. Utilizar variables en los programas
5. scanf
* Más sentencias de E/S
1. gets
2. puts
3. getch
4. putch
5. getche
6. getchar
Indicarle que, cada programa es un conjunto de sentencias, y cada sentencia es una instrucción (o más de una) para el equipo, que es una colección de constantes, variables, operadores y declaraciones.
Tras más de una década trabajando en universidades de EEUU regresé a
España hace dos años. Mi decisión se apoyaba íntegramente en esta
párrafo del BOE referente a mi contrato de cinco años con el CSIC: "La
formalización por parte de los Centros de I+D de estos
acuerdos de incorporación implica que garantizan el compromiso de crear,
antes de la finalización del contrato, puestos de trabajo permanentes
con un perfil adecuado a las plazas cubiertas".
iptables es la herramienta que permite configurar los filtros que se implementan en el kernel de Linux como módulos de netfilter. Para organizarse existen 3 tablas principales y una adicional donde introducir las reglas.
Las tres tablas principales son:
Las tres tablas principales son:
- filter: Se trata de la tabla por defecto para el filtrado de paquetes. Sus hooks (chains desde el punto de vista de iptables) son:
Como de costumbre, el mundo del software libre/Open Source proporciona las mejores utilidades de seguridad para Windows, Linux y Mac así. Eric Geier rondas hasta cuatro utilidades de cifrado para ambos local y de información en red.
Aunque el cifrado de disco ha existido durante muchos años, muchos de nosotros no lo aprovechamos. El concepto básico es que los documentos, archivos y datos están revueltos hasta que proporcione una contraseña para desbloquearlas. Por lo tanto, si se roba un PC o portátil, el ladrón no será capaz de leer los datos, protegiendo cualquier información confidencial que pueda almacenar.
Aunque el cifrado de disco ha existido durante muchos años, muchos de nosotros no lo aprovechamos. El concepto básico es que los documentos, archivos y datos están revueltos hasta que proporcione una contraseña para desbloquearlas. Por lo tanto, si se roba un PC o portátil, el ladrón no será capaz de leer los datos, protegiendo cualquier información confidencial que pueda almacenar.
Una de las principales razones por las que un apache no arranca
suele ser un fallo en la configuración, normalmente un problema de
sintaxis muy fácil de descubrir. Existe la mala costumbre de realizar el
reinicio sin comprobar la configuración. Vamos a ver como hacerlo para evitar esos molestos minutos en los que tenemos el apache sin responder a peticiones.
El todoterreno TREKOL atropella personas sin aplastarlas. RIA Novosti ofrece un fragmento que revela el secreto del coche diseñado por fabricantes rusos, incorporado al parque automovilístico del Ministerio de Situaciones de Emergencia.
Redes: |
 |
 |
 |
Suscribete / Newsletter
El Top de LinuxParty
- Cambiar la Hora y la Fecha al sistema Linux
- Cómo configurar la tarjeta de Red Inalámbrica ( WiFi ) en Linux
- Manual para hackear una red wifi
- Cómo configurar el Modem USB o Tarjeta GPRS / 3G para Linux.
- 20 Comandos Netstat para Administradores de Redes Linux
- 29 Prácticos ejemplos de Nmap para Administradores de Sistemas / Redes
- Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac
- Exportar Bases de Datos de Access (MDB) a MySQL
- ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES)
- 20 ejemplos iptables para administradores de sistemas Linux
- Introducción a los comandos SNMP, snmpwalk, snmpget, snmptranslate...
- Cómo Montar tu Propio Wiki
- Cómo bloquear fotos e imágenes porno con SafeSquid, servidor proxy
- Instalar Microsoft Office en Linux (con Wine)
- Programar y depurar en un IDE para PHP con Eclipse, plugins PDT, xdebug y Remote debug
- Cómo Crear una Base de Datos MySQL e inicializar los privilegios.
- 40 cosas que probablemente no sepas sobre Linux
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux
- Sexo, Violencia, y Tensión en los Juegos.
- Renombrar multiples archivos masivamente en Linux (quitar espacios, cambiar mayúsculas) a la vez en Linux
Donar a LinuxParty
Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?
Tutorial de Linux
Top 15 artículos por Fecha
Viendo artículos de: Noviembre de 2025
- Incluir Repositorios en Fedora (02/11/2025) - 58580 visitas
- Servidor de Archivos Samba con SWAT en Fedora. (02/11/2025) - 50667 visitas
- Utilizar ssh sin contraseña con ssh-keygen y ssh-copy-id (17/11/2025) - 46353 visitas
- Las 25 mejores herramientas y frameworks PHP para desarrolladores en 2025 / 2026 (20/11/2025) - 37216 visitas
- Cómo crear una carpeta privada, personal y encriptada En Ubuntu ( Linux ) (05/11/2025) - 30375 visitas
- Agregar la Máquina VirtualBox a nuestra LAN, 192.168.1.X (19/11/2025) - 21837 visitas
- Grandes Edificios y Rascacielos Abandonados. (16/11/2025) - 20706 visitas
- Usando systemctl para controlar systemd (21/11/2025) - 7635 visitas
- Woof: intercambie fácilmente archivos a través de una red local en Linux (24/11/2025) - 4653 visitas
- 🧠 Cómo forzar evitar distracciones en Windows con tus propios scripts PowerShell (07/11/2025) - 555 visitas
- 10 mejores herramientas de inteligencia artificial de código abierto para Linux (12/11/2025) - 397 visitas
- Puertos del correo electrónico: POP3, IMAP, SSL/TLS y el enigmático puerto 106 (poppassd) (28/11/2025) - 336 visitas
- Hola Atlas, el navegador con ChatGPT integrado. (03/11/2025) - 321 visitas
- Crea tu primer agente de IA (26/11/2025) - 256 visitas
- 🚀 LinuxParty crece más de un 50 % en 2025: ¡Gracias a todos los que formáis parte de esta comunidad! (10/11/2025) - 255 visitas
Últimos comentarios
- Buscar y reemplazar en Vim (1)
- En Italia ha caido un meteorito de más de 45.000 millones de años (2)
- Los mejores juegos de GNU/Linux – Una larga lista (1)
- Cómo configurar DRBD para replicar el almacenamiento en dos servidores CentOS 7 y 8 (1)
- Aprender a programar en Basic con QB64, La versión QuickBASIC para Linux, MacOS y Windows es la opción que las escuelas deberían escoger (2)
- Por qué Linux no triunfa en el Escritorio. (1)
- Configuración del servidor DNS en Linux (3)
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux (1)
- Q4OS hace que Linux sea fácil para todos (1)
- Cómo configurar un servidor de correo con Postfix y Dovecot para diferentes necesidades (9)