1
00:00:00,000 --> 00:00:05,160
Bueno chicos, en esta práctica os contaré un poco como resolver o como se debería haber

2
00:00:05,160 --> 00:00:10,960
resuelto la actividad 16, que es la primera toma de contacto con IPTables o lo que es

3
00:00:10,960 --> 00:00:16,800
lo mismo, componer reglas para restringir o dejar pasar el tráfico a través de nuestro

4
00:00:16,800 --> 00:00:17,800
cortafuegos.

5
00:00:17,800 --> 00:00:24,760
Vale, aquí fijaros que en este caso este cortafuegos tiene como es una estructura de

6
00:00:24,760 --> 00:00:29,640
tres patas, como comentamos con una red roja, que es roja porque es peligro como sería

7
00:00:29,640 --> 00:00:34,160
el acceso a internet que no está protegido por el cortafuegos, la red verde que digamos

8
00:00:34,160 --> 00:00:39,880
que es la protegida, es decir que para llegar a ella habría que saltar ese cortafuegos

9
00:00:39,880 --> 00:00:46,120
y luego estaría la red naranja o DMZ, zona desmilitarizada, que como explicamos en clase

10
00:00:46,120 --> 00:00:51,440
es donde se alojan los servidores y es decir, es naranja porque si es un servidor web hay

11
00:00:51,520 --> 00:00:57,120
que dejarle acceder desde el exterior, evidentemente un servidor sin acceso desde fuera pues no

12
00:00:57,120 --> 00:01:01,720
tiene ningún tipo de sentido, por eso que se llama naranja.

13
00:01:01,720 --> 00:01:04,720
Hasta ahora lo que dijimos en clase es que nos vamos a olvidar de la red naranja y solo

14
00:01:04,720 --> 00:01:08,000
vamos a trabajar con la roja y con la verde.

15
00:01:08,000 --> 00:01:13,520
Entonces yo tengo aquí mis dos máquinas, fijaros que en este caso la máquina IPFire

16
00:01:13,520 --> 00:01:18,840
tiene dos adaptadores de red, uno el adaptador 1 que está en adaptador puente, es decir

17
00:01:18,920 --> 00:01:26,240
que es el adaptador de la red roja que tiene conexión con, en este caso con la red de

18
00:01:26,240 --> 00:01:33,000
mi casa para poder conectarse a internet y por otra parte el adaptador 2 es una red interna

19
00:01:33,000 --> 00:01:37,360
verde para que solo, ya sabéis que la red interna solo se comunique a aquellas máquinas

20
00:01:37,360 --> 00:01:42,000
que tienen la misma descripción, no en este caso, red interna verde se va a comunicar

21
00:01:42,000 --> 00:01:48,960
solamente a esta máquina CaliNinus que está también en red interna verde.

22
00:01:48,960 --> 00:01:54,560
Si os fijáis y veo el IPFire y lanzo un IPA tengo los diferentes adaptadores, tengo el

23
00:01:54,560 --> 00:01:59,240
EO que es de loopback, el primero de dos, el segundo que es el red cero, es decir el

24
00:01:59,240 --> 00:02:09,360
que va a la red roja, que en este caso tengo 1.1.2.1.6.8.91.180, me sale esta IP porque

25
00:02:09,480 --> 00:02:14,920
estoy conectado a través del punto de acceso wifi de mi móvil y luego a la red verde

26
00:02:14,920 --> 00:02:24,120
que es la que yo he establecido realmente tenemos la 1.9.2.1.6.8.1.1 y al otro lado

27
00:02:24,120 --> 00:02:30,200
tenemos en nuestro esquema de la red verde dentro del CaliNinus tenemos otra IP que es

28
00:02:30,200 --> 00:02:39,200
relativa a esa red, la 1.9.2.1.6.8.1.9. Si os fijáis aquí en network yo tengo aquí

29
00:02:39,200 --> 00:02:44,760
que en IPv4 tengo tanto la IP de esta red máscara 24 porque es la máscara de la red

30
00:02:44,760 --> 00:02:49,400
y luego la salida por donde va a salir la puerta de enlace por nuestra ruta entre comillas

31
00:02:49,400 --> 00:02:54,880
por nuestro portafogos que es la 1.1 y el DNS pues 8.8.8.8. Si yo por ejemplo voy a

32
00:02:54,880 --> 00:03:01,440
hacer las pruebas básicas desde el IPv5 pues yo voy a hacer una prueba que llego a internet

33
00:03:01,440 --> 00:03:06,360
llego por nombre de dominio puede que no me llegue porque ahora que sí que no funciona

34
00:03:06,360 --> 00:03:17,320
pero no he configurado DNS, oye pues voy a probar desde el IPv5 hasta el CaliNinus 1.9

35
00:03:17,320 --> 00:03:22,600
y llega, si hubiera errores sería lo más aconsejable probar poquito a poco cacho a

36
00:03:22,600 --> 00:03:30,600
cacho para ver que funciona, ahí tenemos la 1.9.2.6.8.1.1. Llego y a internet como aquí

37
00:03:30,600 --> 00:03:35,600
sí que tengo el DNS debería llegar sí o sí, ¿lo veis? ¿vale? Y si quiero hacer un tráfero

38
00:03:35,600 --> 00:03:41,960
a google.com vemos que la funcionalidad del portafogos se está haciendo, es decir paso

39
00:03:41,960 --> 00:03:47,960
por la 1.1 que es el portafogos y luego paso a la puerta de enlace, en este caso de mi

40
00:03:47,960 --> 00:03:56,960
router, ¿vale? Por ejemplo en clase sería este la 2.1 y esta sería la 10.0.0.2, ¿vale?

41
00:03:56,960 --> 00:04:03,360
y en vuestra casa la segunda sería la 1.9.2.6.8.1.1, que es unos líos, o sea realmente está pasando

42
00:04:03,360 --> 00:04:12,440
por mi portafogos. Vamos con la práctica, en la práctica lo que ya utilizamos es la

43
00:04:12,440 --> 00:04:16,040
herramienta de ptibox, lo habéis utilizado conmigo el año pasado haciendo el router,

44
00:04:16,040 --> 00:04:21,400
lo habéis hecho con gema también, ¿vale? Pero no habéis utilizado la tabla de filtro

45
00:04:21,400 --> 00:04:24,520
para el filtro de paquetes, ¿vale? Vosotros hasta ahora habéis utilizado la tabla en

46
00:04:24,520 --> 00:04:32,640
acto. Entonces vamos a la teoría y ptibox es eso, es un framework, una herramienta para

47
00:04:32,640 --> 00:04:40,840
manipular, interceptar los paquetes en sí. Bueno, ya la conocéis. Vamos con la primera

48
00:04:40,840 --> 00:04:46,560
pregunta. Explicar con dos palabras los denominamos targets, que son accept, drop o rejet. Cuando

49
00:04:46,560 --> 00:04:50,440
decimos targets realmente lo que se quiere decir es lo que hacemos con los paquetes,

50
00:04:50,440 --> 00:04:56,120
¿vale? Si vais a la presentación teórica que os he dejado en el aula, esta imagen lo

51
00:04:56,120 --> 00:05:00,560
explica bastante bien. Es decir, siempre tenéis que poner la posición del portafogos. El

52
00:05:00,560 --> 00:05:05,920
portafogos en el caso de accept lo que hace es dejar pasar a los paquetes. En el caso

53
00:05:05,920 --> 00:05:13,040
de rejet vamos a decir que sería rechazarlo. Es decir, te dice, por ejemplo en este caso

54
00:05:13,040 --> 00:05:19,040
fijaros, rechaza el paso de los datos pero te da un mensaje de error, ¿vale? Y en el

55
00:05:19,040 --> 00:05:24,560
caso de drop yo lo llamo como desechar o tirar a la basura. Es decir, no te da un aviso del

56
00:05:24,560 --> 00:05:30,280
error directamente, no pasas, pero no te avisa. Directamente es como si tirara tus paquetes

57
00:05:30,280 --> 00:05:37,840
a la basura. Más con mis palabras imposible. Luego hablamos de cadenas y en este caso

58
00:05:37,840 --> 00:05:45,040
vamos a trabajar sobre tres cadenas, input, output y forward. Fijaros aquí, antes de

59
00:05:45,040 --> 00:05:51,160
llegar a eso, ipt-box principalmente tiene tres tipos de tablas. El filter, que realmente

60
00:05:51,160 --> 00:05:58,320
es para filtrar los paquetes, ya sea restringir o dejar pasar los paquetes. Nat, que es la

61
00:05:58,320 --> 00:06:02,640
que habéis utilizado tanto conmigo en primero como con Gema, lo que hace Nat es traducción

62
00:06:02,640 --> 00:06:07,200
de direcciones. Por ejemplo, el router de vuestra casa lo que hace es traducir desde

63
00:06:07,200 --> 00:06:13,360
una dirección privada a una dirección pública y viceversa. Los diferentes routers del instituto

64
00:06:13,360 --> 00:06:18,160
también cambian la dirección. Eso es lo que hace el Nat. De momento conmigo no la

65
00:06:18,160 --> 00:06:24,600
vais a utilizar, dentro de tres prácticas si la utilizáis. Y manuel es para operaciones

66
00:06:24,600 --> 00:06:30,840
especiales. Eso sí que no lo vais a utilizar. Vamos con lo que nos interesa, input, output

67
00:06:30,840 --> 00:06:35,120
y forward. Lo mismo que antes, os tenéis que poner en la posición de que estas tres

68
00:06:35,120 --> 00:06:41,560
cadenas las vais a configurar en el cortafuegos, siempre desde la visión del cortafuegos.

69
00:06:41,560 --> 00:06:48,760
Es decir, input quiere decir que es tráfico entrante al cortafuegos, es decir que la dirección

70
00:06:48,760 --> 00:06:56,040
IP destino de un paquete es el propio cortafuegos. Output es que el tráfico es saliente del

71
00:06:56,040 --> 00:07:03,480
cortafuegos, es decir que la IP origen es el propio cortafuegos. Y forward es que atraviesa

72
00:07:03,480 --> 00:07:08,200
el equipo, es decir que no es ni IP origen ni IP destino el propio cortafuegos. En este

73
00:07:08,200 --> 00:07:14,320
caso por ejemplo el Kali, si se conecta con internet lo que va a mirar es la cadena de

74
00:07:14,320 --> 00:07:19,600
forward. ¿Por qué? Porque la IP origen por ejemplo sería el Kali y la IP destino

75
00:07:19,600 --> 00:07:25,640
sería google.com. Eso es input, output y forward. Fijaros aquí, aquí que no os lo

76
00:07:25,640 --> 00:07:29,880
he contado antes, aquí tenéis otra explicación de lo que hace ACET, lo que hace DROP y lo

77
00:07:29,880 --> 00:07:34,400
que hace REGET. Fijaros que lo diferente de antes es que DROP es que REGET te dice oye

78
00:07:34,400 --> 00:07:38,480
acceso denegado, mientras que DROP no hace nada, lo tira a la basura.

79
00:07:39,480 --> 00:07:49,560
Vale, tercera pregunta, ¿para qué se utiliza el protocolo ICMP? Pues evidente es para pruebas

80
00:07:49,560 --> 00:07:55,800
de conexión de estado, pruebas de comunicación con máquinas. El ICMP es el tipo de paquetes

81
00:07:55,800 --> 00:08:01,840
que utiliza la herramienta PING. ¿En qué tabla del modelo TCPIP actúa? Pues en la capa

82
00:08:02,000 --> 00:08:09,000
de red. Si os dijera que a veces en los exámenes pongo esa pregunta que es, oye ¿en qué puerto

83
00:08:09,000 --> 00:08:16,000
escucha HTTP? 80. ¿En qué puerto escucha HTTPS? 443. ¿En qué puerto escucha SSH?

84
00:08:16,000 --> 00:08:23,000
El 22. Pero si os digo, ¿en qué puerto escucha ICMP? Os quedáis diciendo, en ninguno. ¿Por

85
00:08:23,000 --> 00:08:27,480
qué? Porque ICMP, el PING, sólo llega a la capa de red y el puerto es de la capa de

86
00:08:27,480 --> 00:08:33,680
transporte. Pregunta número 4, me dice que pruebe la conexión con el portal web EL LADO

87
00:08:33,680 --> 00:08:43,080
DEL MAL, desde la máquina cliente. En este caso lo puedo probar desde ambas máquinas.

88
00:08:43,080 --> 00:08:58,080
PING EL LADO DEL MAL.COM y vemos que envía los pins. En este caso voy a borrar, como

89
00:08:58,080 --> 00:09:03,080
acabo de iniciar IPFILE, voy a borrar todo lo que hay en, fíjalo, si yo hago por ejemplo

90
00:09:03,080 --> 00:09:12,720
un IP DEFAULT, menos F, me borraría todo lo que hay en la tabla FILTER. Esto sería

91
00:09:12,720 --> 00:09:19,720
lo mismo en todas las reglas que haya introducidas. Fíjalo si hago un IPTABLES menos F, sería

92
00:09:19,720 --> 00:09:27,720
lo mismo que LANDAR IPTABLES menos T FILTER menos F. ¿Esto por qué? Porque la tabla

93
00:09:27,720 --> 00:09:32,720
por defecto es FILTER y da igual indicarla o no indicarla. Esto es lo que os pregunto,

94
00:09:32,720 --> 00:09:40,720
¿y cómo lo hubieras hecho indicando la tabla? Pues ya me he cargado todas las reglas que

95
00:09:40,720 --> 00:09:47,720
hay de forma inicial en la tabla FILTER. Si yo hago en la 5 ya la he hecho. Ahora me dice

96
00:09:47,720 --> 00:09:54,720
que visualice que reglas hay para las cadenas INPUT, OUTPUT y FORWARD. Si yo voy aquí y

97
00:09:54,720 --> 00:10:10,720
pongo IPTABLES menos NLINPUT veo que no hay reglas, si hago FORWARD veo que no hay reglas

98
00:10:10,720 --> 00:10:21,720
y si hago OUTPUT aparece que no hay reglas. No hay ninguna regla en cada una de esas 3

99
00:10:21,720 --> 00:10:29,720
cadenas. Luego fíjalos, el lugar de poner menos NLOUTPUT podría haber puesto menos

100
00:10:29,720 --> 00:10:37,720
T FILTER OUTPUT. ¿Por qué? Lo vuelvo a repetir, la tabla FILTER es la de por defecto, da igual

101
00:10:37,720 --> 00:10:47,720
ponerla o no ponerla. Nosotros en la teoría hemos visto antes en el anterior documento

102
00:10:47,720 --> 00:10:52,720
que hay dos políticas posibles llevar a cabo, política permisiva y política restrictiva.

103
00:10:52,720 --> 00:11:01,720
¿Qué es eso? La política permisiva es dejar pasar todo y a partir de ahí restringir poco

104
00:11:01,720 --> 00:11:08,720
a poco, es decir, lo que pasa en nuestras casas. No son entornos de máxima seguridad,

105
00:11:08,720 --> 00:11:13,720
pues esa es la política que se sigue. En cambio luego está la política restrictiva,

106
00:11:13,720 --> 00:11:19,720
es decir, voy a cerrar todos los accesos y a partir de ahí voy a ir dejando paso a

107
00:11:19,720 --> 00:11:30,720
lo que vaya necesitando. Fijaros en la 6. Fijaros que lo que me muestra la cadena INPUT

108
00:11:30,720 --> 00:11:36,720
la política por defecto es DROP. Voy a visualizarlo para que lo veáis más claro.

109
00:11:37,720 --> 00:11:42,720
La política por defecto de la cadena OUTPUT de la tabla FILTER es POLICY ACCEPT, es decir,

110
00:11:42,720 --> 00:11:50,720
la política por defecto es ACEP, es permisiva. Si yo miro la de INPUT, fijaros que es DROP,

111
00:11:50,720 --> 00:11:56,720
es decir, ahí restringe todo y a partir de luego lo que tocamos pues abrimos.

112
00:11:56,720 --> 00:12:04,720
Y luego de FORWARD es DROP. Entonces en la 6 me pide aceptar todos los paquetes.

113
00:12:04,720 --> 00:12:13,720
Vamos a establecer esa política. Entonces en este caso voy a cambiar la política por defecto

114
00:12:13,720 --> 00:12:23,720
de INPUT y de FORWARD. Fijaros, menos P, voy a poner FORWARD porque es la que quiero editar

115
00:12:23,720 --> 00:12:30,720
y pongo ACEP. Y ahora hago lo mismo pero en lugar de con FORWARD con INPUT.

116
00:12:30,720 --> 00:12:37,720
Entonces fijaros ahora, ya tengo, voy a hacerlo más simple, como no es necesario,

117
00:12:37,720 --> 00:12:53,720
OUTPUT, INPUT y FORWARD. Entonces ahora ya las 3 cadenas de la tabla FILTER las tenemos en ACEP.

118
00:12:54,720 --> 00:13:04,720
Fijaros que pasa, yo ahora como las tengo en ACEP, si hago un PING a Google desde aquí, funciona.

119
00:13:04,720 --> 00:13:14,720
Voy a hacer la prueba para que lo entendáis mejor. Voy a hacer un IPTABLES, menos P, FORWARD, DROP.

120
00:13:14,720 --> 00:13:24,720
Fijaros que pasa ahora, no llega. ¿Por qué? Porque he puesto en el IPFIRE que la cadena FORWARD

121
00:13:24,720 --> 00:13:34,720
tire los paquetes a la basura. Entonces este paquete que tiene dirección origen, el KALI dirección destino,

122
00:13:34,720 --> 00:13:46,720
Google.com en este caso, no me deja pasarlo porque es FORWARD. Pero fijaros que si yo hago un PING a 192.168.1.1

123
00:13:46,720 --> 00:13:54,720
me deja. ¿Por qué? Porque aquí miraría la cadena INPUT, es decir, que entra el cortafuegos.

124
00:13:54,720 --> 00:14:03,720
Si yo desde el cortafuegos hago PING a 192.168.1.1 me deja. ¿Por qué? Porque ahí mira la cadena OUTPUT.

125
00:14:03,720 --> 00:14:16,720
Voy a cambiarlo. Voy a hacer que el FORWARD sea ACEP y que el INPUT y el OUTPUT sean DROP.

126
00:14:17,720 --> 00:14:25,720
Aquí es muy importante, si no ponemos las mayúsculas y las minúsculas como corresponden, cagada.

127
00:14:25,720 --> 00:14:30,720
Fijaros lo que pasa ahora. Ahora tengo FORWARD en ACEP.

128
00:14:47,720 --> 00:14:53,720
Vale, ahí está. No me está funcionando el nombre de dominio porque algo no está resolviendo.

129
00:14:53,720 --> 00:15:01,720
Fijaros que al 888 llega, pero si yo hago un PING, es decir, estoy utilizando en el cortafuegos la regla de FORWARD,

130
00:15:01,720 --> 00:15:06,720
aquí no llega. ¿Por qué? Porque es INPUT en el cortafuegos, entonces lo estoy tirando a la basura.

131
00:15:06,720 --> 00:15:13,720
Y lo mismo pasa en el cortafuegos. Si hago un 888, fijaros que no lo manda a internet. ¿Por qué?

132
00:15:13,720 --> 00:15:21,720
Porque la cadena OUTPUT, que es lo que dice que es la IP origen, la del cortafuegos, la tengo restringida.

133
00:15:21,720 --> 00:15:29,720
En este gráfico, chicos, se ve perfectamente. Es decir, siempre tenemos que tener la visión que estamos en el cortafuegos.

134
00:15:30,720 --> 00:15:36,720
Vamos a lo que nos pedía la práctica, que es poner los 3 como FORWARD.

135
00:15:37,720 --> 00:15:39,720
Uy, a ver que lo he puesto mal.

136
00:15:55,720 --> 00:15:57,720
Vale, ya lo tenemos. Si lo queremos visualizar...

137
00:16:06,720 --> 00:16:10,720
OUTPUT y FORWARD.

138
00:16:14,720 --> 00:16:21,720
Ya tenemos las 3 cadenas, es decir, vamos a implementar una política permisiva.

139
00:16:22,720 --> 00:16:23,720
Volvemos a la práctica.

140
00:16:24,720 --> 00:16:25,720
Vale, 7.

141
00:16:29,720 --> 00:16:35,720
Como vamos a restringir, fijaros lo que nos dice es el tráfico desde la red verde hacia internet.

142
00:16:35,720 --> 00:16:40,720
¿En qué cadena de las 3 incluiríamos las reglas? Fijaros que es de la verde hacia internet.

143
00:16:40,720 --> 00:16:44,720
Entonces, ¿dónde incluiríamos las reglas? En FORWARD, porque atraviesa el cortafuegos.

144
00:16:44,720 --> 00:16:50,720
Fijaros en la pregunta que da el entorno. Si en tu propio PC, vamos a tener que tenemos un Ubuntu,

145
00:16:52,720 --> 00:16:57,720
nuestra casa, tenemos IPTables y queremos restringir desde nuestra máquina hacia internet.

146
00:16:58,720 --> 00:17:05,720
¿En qué cadena incluiríamos restricciones? Como es de mi equipo, en el que tengo implementado IPTables,

147
00:17:05,720 --> 00:17:11,720
la restricción sería OUTPUT, sale de mi máquina. Vale, chicos, esto tiene que quedar muy claro.

148
00:17:12,720 --> 00:17:20,720
Vamos con ello. Vale, por ejemplo, la 8. En alguna ocasión nos podemos encontrar que el cortafuegos de Windows

149
00:17:20,720 --> 00:17:27,720
nos restringe las pruebas. Entonces, lo que pasa es... Oye, las pruebas de la herramienta PING.

150
00:17:27,720 --> 00:17:34,720
Entonces, lo que nos pide es crear una regla que rechace las pruebas a través de la herramienta PING.

151
00:17:35,720 --> 00:17:48,720
Entonces, fijaros. Yo voy aquí. Lo que tengo que poner es IPTables-A. ¿Por qué? Mira, aquí en la teoría se ve bastante claro.

152
00:17:48,720 --> 00:17:56,720
Bueno, estos ya son comandos que hemos hecho en la práctica. Fijaros, IPTables-A. ¿Por qué?

153
00:17:56,720 --> 00:18:07,720
Porque vamos a añadir una regla. Vamos a ver. Imaginaros que existiera la DMZ. Yo sólo quiero restringir el PING de la red verde.

154
00:18:07,720 --> 00:18:15,720
Entonces, le tengo que decir por dónde va a entrar al cortafuegos. En este caso, fijaros. Me salto esto.

155
00:18:15,720 --> 00:18:23,720
Voy a hacer un clear. IPA. IPTables. Quiero añadir una regla. ¿Por dónde va a entrar al cortafuegos esta comunicación?

156
00:18:23,720 --> 00:18:32,720
Pues, evidentemente, por green0. Si no lo pusiera, voy a restringir la green, la naranja, la rosa. Si hubiera, voy a restringir todas.

157
00:18:32,720 --> 00:18:40,720
Pero de esta forma indico a qué red quiero restringir. Seguimos. ¿Qué más puedo poner?

158
00:18:40,720 --> 00:18:54,720
Tengo que decir qué cadena voy a restringir. En este caso es FORWARD. Voy a poner primero el "-i", luego "-a", FORWARD y luego poco más.

159
00:18:54,720 --> 00:19:12,720
Es decir, "-p", voy a indicar el protocolo. En este caso es ICMP, que es el PING. Y podría poner directamente "-j". Como quiero restringir toda la red, pongo "-j".

160
00:19:12,720 --> 00:19:40,720
Fijaros que me dice que rechace. Si hago un IPTables, "-tfilter", lo puedo poner o no, "-nl", L, FORWARD, ya sale una que restringe.

161
00:19:40,720 --> 00:19:49,720
Fijaros que pone, hace rejet al protocolo ICMP, origen todos ceros. Es decir, cualquiera. Destino todos ceros y cada rejet.

162
00:19:49,720 --> 00:20:04,720
Yo podría haber puesto esta regla, "-p", podría haber puesto "-s". Yo quiero restringir a este equipo, pues 192.168.1.9, barra 24. Creo que es ese.

163
00:20:04,720 --> 00:20:22,720
Fijaros que ya tendría una segunda regla. Es decir, las mira en orden. Si la primera no lo cumple, pasa a la segunda y así sucesivamente.

164
00:20:22,720 --> 00:20:36,720
En este caso, como he puesto el barra 24, me coge toda la red. Si no hubiera puesto el máscara 24, me daría un giro de 192.168.1.9. Fijaros que pasa. Yo hago un PING al lado del mal.

165
00:20:37,720 --> 00:20:50,720
Fijaros que me está diciendo. Es decir, está haciendo un rejet. Vuelvo aquí y fijaos que le ha hecho un rejet. Era esto. Es decir, me dice, oye tío, que no puedes pasar.

166
00:20:50,720 --> 00:21:05,720
Lo hemos hecho al lado del mal y lo podemos hacer al 888 y va a pasar lo mismo. Ahora, ¿qué pasa? Queremos borrar esas reglas que hemos creado.

167
00:21:05,720 --> 00:21:20,720
Aquí la teoría la podéis ver con el "-d". El "-f", borramos todas. "-f output", borramos todas de output. Pero si queremos borrar solamente una, indicamos de esta forma.

168
00:21:20,720 --> 00:21:35,720
Yo voy aquí al IPF file, f tables, podría poner el "-t filter", pongo "-d", forward y si pongo un 2, borra la que aparece en segundo lugar. Si pongo un 1, la que aparece en primer lugar.

169
00:21:35,720 --> 00:21:55,720
Fijaros, forward 2 y borraría la segunda. Quiero borrar esta, pues pongo 1 y ya no tendríamos reglas. Ahora lo que nos dice el ejercicio es que en lugar de rechazar, que lo deseche o lo tira a la basura.

170
00:21:55,720 --> 00:22:10,720
En este caso, pondríamos drop. Si lo quieres visualizar, ahí lo tenemos. Ahora voy al pin al lado del mal y ¿qué pasa? Que lo tira a la basura, es decir, no está devolviendo mensaje de error.

171
00:22:10,720 --> 00:22:25,720
Y esto sería la primera toma de contacto con IPTF.