Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

IPTables. Vídeo 1 - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 1 de febrero de 2026 por Francisco J. G.

11 visualizaciones

IPTables. Vídeo 1

Más información Transcripción

Descargar la transcripción

y buenos días en este nuevo vídeo o vídeos voy a intentar explicar cómo configurar las reglas 00:00:00
y petables que aparecen en la unidad 4 de seguridad y alta disponibilidad para empezar 00:00:12
vamos a ver lo que es un cortafuegos en esta primera dispositiva voy a explicar qué es un 00:00:21
cortafuegos o firewall. Un cortafuegos es un elemento fundamental en la seguridad de 00:00:29
red. ¿Por qué? Porque actúa como una barrera de control entre redes distintas, por ejemplo 00:00:34
entre una red interna y el exterior. Su función principal es el que decidir qué tráfico 00:00:41
se permite y cuál se bloquea según unas reglas establecidas que son las que vamos 00:00:49
a intentar configurar. Pero para que sea realmente efectivo no basta con instalar el cortafuegos, 00:00:52
hay que configurarlo correctamente, probarlo con frecuencia y supervisarlo. También es 00:01:00
importante apoyarse en herramientas complementarias como los logs y la monitorización. Además, 00:01:05
el software libre es una opción muy buena porque permite control total y un coste reducido. 00:01:12
¿Qué tipo de reglas? Como introducción a IP Tables, aquí encontramos que en IP Tables, que es el sistema de cortofobos integrado en el kernel de Linux, es importante remarcar que las IP Tables o IP Tables no solo filtran paquetes, sino que también permiten redireccionarlos, enmascararlos y manipularlos. 00:01:18
Es decir, no sirve únicamente para bloquear o permitir tráfico, sino que también se pueden realizar tareas avanzadas de red. 00:01:45
Para trabajar con IPTables se usan varias tablas de reglas. 00:01:53
Aquí estarían las tres tablas y cada tabla tiene cadenas por las que circulan los paquetes. 00:01:59
En la práctica, entender esta estructura de tablas y cadenas es clave para poder configurar o para crear estas reglas de manera correcta. 00:02:05
Si no sabemos por qué cadena pasa a un paquete, es fácil equivocarse y por eso esta diapositiva se basa para todas las demás. 00:02:12
Aquí tenemos tres tablas, que serían Filter, NAT y Mangle, y cada una de ellas va a tener una serie de cadenas. 00:02:21
Dentro de Filter tenemos Input, Output y Forward. 00:02:28
Input sería la de entrada, o sea, reglas para aplicar a paquetes que como destino es el propio equipo que tiene instalado las reglas. 00:02:30
El output sería la salida, reglas para aplicar a paquetes que tienen como origen el equipo que tiene instalado, o sea, que tienen como origen pero que van a salir desde el equipo que tiene instalado las reglas. 00:02:37
Y forward sería un reenvío para reglas para aplicar a paquetes que atraviesan el equipo y que tiene instalado esas reglas y que tiene como destino cualquier otro ordenador. 00:02:50
Respecto a NAT, que lo veremos más adelante, ofrece funciones de enmascaramiento de direcciones IP y de redirección de paquetes 00:02:59
Aquí tenemos el pre-routing, el post-routing y el output 00:03:06
El pre-routing sería el pre-enrutado, o sea, lo que se va a realizar, se va a realizar alguna acción sobre el paquete antes de que tome la decisión del encaminamiento 00:03:08
Veremos dentro del pre-routing que estaría el de NAT, luego lo veremos 00:03:20
En post-routing tendremos que sea el post-enrutado, que permite realizar alguna acción sobre el paquete antes de que salga del cortofuegos. Hablaremos de ese NAT. Y, por último, tendríamos el output, que serían reglas a aplicar a los paquetes que tienen como origen el equipo y que tienen instaladas las reglas. 00:03:26
Mangle sería usado para alterar el estado de los paquetes. 00:03:47
Con respecto al tipo de reglas, aquí tenemos en esta diapositiva se explica que las reglas de filtrado controlan el tráfico según la información de los encabezados de los paquetes. 00:03:52
Entonces, eso significa que se fijan en datos como la IP de origen, IP destino, puertos y protocolo. Luego veremos cómo se configura todo ello. 00:04:07
Y aquí hay algunos ejemplos en los que ya aparece tanto el protocolo, el puerto, dirección IP, fuente, etc. 00:04:15
Estas reglas se pueden implementar tanto en el dispositivo de hardware como en el software, pero aquí nos vamos a centrar en Linux. 00:04:22
Se presentan tres cadenas principales, que serían input, output y forward. 00:04:31
Input controla los paquetes que lleguen a los fuegos y van dirigidos a él. 00:04:36
Output controla los paquetes generados por el propio cortafuegos hacia afuera y Forward controla los paquetes que atraviesan cortafuegos para llegar a otro equipo de la red. 00:04:42
Aquí tenemos ejemplos en cuanto al input. Aquí ya aparece una regla completa. Veremos lo que es este A, esta J, el ACET, etc. 00:04:50
Y vemos que ya introducimos el valor del protocolo, el valor del puerto, el valor de una edición fuente, etc. 00:05:00
Estas serían las que llegan al cortafuegos, estas de aquí serían las que salen del cortafuegos y estas serían las que atravesan o que son retransmitidos a través del equipo cortafuegos hacia otro equipo. 00:05:07
En cuanto a los tipos de reglas, podemos hablar de reglas adicionales que eran las reglas NAT y las reglas MANGOL. 00:05:20
hemos visto que NAT incorporaba tanto el prerouting como el prorouting 00:05:33
antes o después de aplicar las reglas principales 00:05:39
y el Mangle modifica el estado de los paquetes antes de aplicar las reglas NAT 00:05:44
Con respecto a la secuencia de aplicación de estas reglas vamos a tener tres situaciones 00:05:47
Una primera situación viene aquí en el dibujo 00:05:54
en el que ahora se aplica el recorrido real de un paquete cuando atraviesa el cortafuegos hacia otro equipo 00:05:58
Entonces, en esta situación hablaríamos del pre-routing. El paquete llega al cortafuegos y primero pasa antes previo por un pre-routing. Esa sería la primera secuencia. Después se toma la decisión del encaminamiento que determina dónde va a ir ese paquete. 00:06:05
Como el destino no es el propio cortafuegos, el paquete pasa por la cadena forward, que controla el tráfico reenviado y, finalmente, antes de salir por la interfaz correspondiente, pasa por el prorouting. 00:06:19
Esta última cadena es donde suelen aplicarse reglas de SNA, de enmascaramiento, etc. 00:06:33
Con respecto a la segunda secuencia de aplicación de las reglas, tendríamos esta otra que aparece aquí, en esta situación el paquete también llega desde fuera, pero la diferencia es que su destino es el propio cortafuegos. 00:06:38
entonces, igual que antes 00:06:54
pasa a través de un prerouting 00:06:56
y luego toma la decisión del encaminamiento 00:06:57
pero ahora el encaminamiento, pero en este caso 00:07:00
el sistema detecta que el paquete va dirigido al firewall 00:07:01
o sea, dentro de él 00:07:04
no a otro equipo, por eso no pasa por 00:07:06
forward, sino que pasaría por input 00:07:08
entra con la cadena input 00:07:10
en input se aplican las reglas 00:07:12
que deciden si el cortafuegos 00:07:14
adecta o bloquea el tráfico entrante 00:07:16
y si se acepta 00:07:18
el paquete llega al proceso correspondiente 00:07:20
y termina ahí 00:07:22
Este flujo es típico, por ejemplo, de SSH al Firewall o acceso a servicios del propio equipo. 00:07:23
La tercera situación que tenemos sería esta que aparece aquí, en el que ahora que tenemos aquí, lo que tenemos es que es el caso contrario al anterior. 00:07:32
El paquete no llega desde fuera, sino que se origina dentro del cortafuegos. 00:07:41
Por ejemplo, cuando el Firewall hace una actualización o una consulta DNS. 00:07:46
Entonces, como el paquete lo genera un proceso local, entra directamente por la cadena output. En el output se decide si ese tráfico saliente está permitido o no y luego se toma la decisión del enrutamiento. 00:07:49
Para saber por qué interfaz debe salir, se procesa ese enrutamiento. 00:08:06
Y finalmente se aplica el post-routing antes de que el paquete salga realmente. 00:08:13
Esto es importante porque el firewall no solo controla lo que entra, también controla lo que él mismo envía. 00:08:18
Es una forma de evitar que el propio sistema haga conexiones no deseadas. 00:08:25
En resumen, en esta diapositiva vemos el resumen de las tres situaciones anteriores que hemos visto. 00:08:32
Veis la primera situación, el paquete pasa por las reglas de prerouting, por el forward y antes de aplicar el postrouting. 00:08:37
La situación 2, el paquete se dirige a los cortafuegos y pasa por reglas de prerouting y de input. 00:08:44
Y en la situación 3, el paquete se origina en el cortafuegos, pasa por las reglas output y luego se encamina y se aplica el postrouting. 00:08:49
Sintaxis de IP tables. Aquí se presenta la sintaxis general de las IP tables, que es la forma estándar de escribir estas reglas. 00:09:00
Aquí aparecen dos tipos de sintaxis, que es lo mismo, pero dos maneras de enfocarlo. Normalmente se indica primero la tabla, en la que esta es una operación, un añadido opcional, por eso aparece entre corchetes. 00:09:08
Luego tendríamos la operación, después la cadena, los parámetros y la acción finalmente que se va a realizar. 00:09:26
Se divide en cuatro partes, que serían opciones, cadena, condición y acción. 00:09:35
La cadena indica dónde se aplicará la regla. 00:09:41
Por ejemplo, un input, un output, un forward, eso es lo que definiría. 00:09:45
La condición define a qué tráfico se va a aplicar. Aquí aparecerá el tráfico de los paquetes. Aquí añadiríamos tanto las direcciones IP, los puertos, los protocolos y la acción por último, que sería esta, que también puede ser la final, determina qué hacer con ese tráfico, si aceptarlo, bloquearlo o re-registrarlo. 00:09:50
En resumen, una regla de IP tables siempre responde a la lógica, si el paquete cumple esto, entonces hago esto. 00:10:16
Operaciones habituales en IP tables, aquí tenemos, os lo he puesto en rojo, en el que tenemos el tipo de operación, esto sería una mayúscula que indica guión A, append en inglés, que sería añado esta regla. 00:10:30
La cadena de filtrado, que hemos visto que puede ser input, output o si va a entrar dentro del firewall, si va a salir, si va a pasar a través de él. El tráfico, luego teníamos las condiciones en las que hablaremos de los protocolos. Para poner el protocolo se pone el guión P y luego el tipo de protocolo que es. O el puerto se pone con el de port, si es destino, de Destiny o ese port si es de fuente. 00:10:43
Por último, tenemos la opción a realizar sobre los paquetes que sería con el guión J que nos indica aquí que acepta esta regla. 00:11:09
Esta regla, como vemos, lo que permite es el tráfico TCP en el puerto 80 y hacia el puerto a fuegos porque tiene una cadena de filtrado de input. 00:11:16
También podemos tener otra operación habitual que sería no solo la de añadir, sino operaciones de eliminar una regla. 00:11:33
Lo único que ha variado, si os fijáis, es el "-a", donde está el cursor, a "-d". Este "-d", indica borrado, drop. Entonces, esta otra regla sería la misma que la anterior, pero acá lo que estamos diciendo es que esta, la de aceptar, como veíamos aquí, la de aceptar el tráfico TCP en el puerto 80, pues tenemos que eliminar esta regla para que no se produzca. 00:11:39
Bueno, el ejemplo elimina exactamente la regla que permitía el tráfico al puerto 80. Es importante entender que para borrar una regla hay que indicar la misma condición con la que se creó o bien usar el número de reglas si se lista previamente. Esto es útil cuando una regla está mal configurada o provoca un fallo de conectividad. 00:12:03
Entonces, también es importante para mantenimiento cuando cambian servicios o necesidades, las reglas se deben actualizar. 00:12:25
Tenemos, además, nuevas… Hemos visto tanto en la cadena, hemos visto tanto guión A, guión D. 00:12:35
Ahora vemos el L, que nos va a permitir listar todas las reglas configuradas, o el F, que nos va a permitir borrar todas las reglas de una cadena. 00:12:44
por último tenemos aquí también aparece el comando para guardar las reglas 00:12:51
como el service IP table save 00:12:58
que dependerá del sistema operativo 00:13:02
y esto es fundamental porque si no guardamos las reglas al reiniciar el equipo 00:13:06
podrían perderse, entonces esta línea habrá que aplicarla para que se mantenga 00:13:09
en entornos reales se usa persistencia para que el firewall sea estable 00:13:13
Así que esta lista de diapositiva trata sobre mantenimiento y control de configuración. 00:13:18
Pasamos a los parámetros. Hemos definido estas cuatro de aquí, que serían las cuatro cadenas, pero pasamos a los parámetros en los que tendríamos aquí todos estos. 00:13:26
Cuando ponemos un guión P, estamos hablando del protocolo. Se especifica qué protocolo va a implicar esa regla. 00:13:37
Si vas desde TCP, UDP, ICMP, dos guiones de port y con el puerto nos va a indicar el tipo de puerto de destino, Destiny o Source, que sería la S, que nos indica el de origen. 00:13:44
Aquí tenemos ejemplos en el que, mira, esta regla es una regla de entrada, además que se añade una regla de entrada al Firewall, en el que está permitiendo el tráfico con el protocolo ICMP. 00:13:58
También aquí, en esta otra, a través del puerto, lo está haciendo a través del tráfico TCP, pero a través del puerto destino 80. 00:14:12
Y en esta, a través del puerto fuente, 8080. 00:14:18
También podemos especificar una dirección IP, y eso se logra a través de guión S o guión D. 00:14:23
Guión S será de source, en inglés, origen, y destiny, de destino. 00:14:27
En el que, aquí tenemos varios ejemplos, en el que aquí nos está diciendo que no permita, a través de la acción con el guión J de DROP, no permita el acceso al firewall a direcciones IP 192.168.1.100 como fuente. 00:14:32
En esta otra sí la está aceptando y sería la contraria a la anterior. 00:14:54
Por último, tenemos el JACIÓN, que ya lo he dicho anteriormente, que tenemos estas cuatro posibles acciones, aceptarla, rechazarla o borrarla. Rechazarla es borrarla, o sea, no permitirla, pero dando una respuesta de por qué se rechaza. 00:14:59
Hemos visto las reglas de las operaciones habituales, aquí he marcado las dos principales, 00:15:23
pero hemos visto también menos L, la F, y el N veremos más adelante, 00:15:28
que crea una nueva regla asociándose a un nombre, luego veremos en qué consiste eso. 00:15:33
En cuanto a las acciones en IP Tables, hemos visto las cuatro que había, 00:15:41
el JACET, que permitía que el paquete pase a través del cortafuegos, 00:15:47
el DROP, que descarta el paquete sin enviar ninguna respuesta, 00:15:50
que era la distribuencia con Rejet. 00:15:55
Rejet lo que nos va a rechazar es el paquete, pero envía una respuesta de error al emisor. 00:15:57
Y por último tenemos Log, que va a registrar el paquete en los archivos de registro del sistema 00:16:03
para auditorías o para un análisis posterior. 00:16:07
También he añadido aquí la Retrum, que no lo habíamos visto anteriormente 00:16:11
y que detiene el procesamiento de reglas en una cadena personalizada. 00:16:15
Luego veremos lo que es una cadena personalizada. 00:16:18
Aquí en este ejemplo veis que la cadena personalizada la ha llamado filtro-http. 00:16:20
Para volver al resto de cadenas tenemos que salir de aquí y se realiza siempre con una acción de retro. 00:16:26
Idioma/s:
es
Materias:
Informática
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Autor/es:
Francisco J. González Constanza
Subido por:
Francisco J. G.
Licencia:
Todos los derechos reservados
Visualizaciones:
11
Fecha:
1 de febrero de 2026 - 14:56
Visibilidad:
Público
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
16′ 39″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
218.90 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid