El mantener a los atacantes remotos fuera de la LAN es un aspecto importante de la seguridad de la red, o quizás el más importante. La integridad de una LAN debería ser protegida de usuarios remotos maliciosos a través del uso de reglas del cortafuegos rigurosas. Sin embargo, con una política por defecto configurada para bloquear todos los paquetes entrantes, salientes y redirigidos, es imposible para el cortafuegos/puerta de enlace y los usuarios internos de la LAN comunicarse entre ellos o externamente. Para permitir a los usuarios realizar funciones relacionadas a la red y utilizar las aplicaciones de la red, los administradores deben abrir ciertos puertos para la comunicación.
Por ejemplo, para permitir el acceso al puerto 80 en el cortafuegos, añada la siguiente regla:
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT |
Esto permite la navegación web normal desde los sitios web que se comunican a través del puerto 80. Para permitir el acceso a sitios web seguros (tales como https://www.example.com/), debe abrir el puerto 443 también.
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT |
Hay muchas veces en que se requiere el acceso remoto a la LAN desde fuera de la LAN. Los servicios seguros, tales como SSH y CIPE, se pueden utilizar para encriptar conexiones remotas a los servicios LAN. Para aquellos administradores con recursos basados en PPP (tales como bancos de módem o cuentas ISP en cantidades), el acceso de marcado se puede utilizar para burlar las barreras del cortafuegos de forma segura, pues las conexiones de módem están típicamente detrás de un cortafuegos/puerta de enlace ya que son conexiones directas. Sin embargo, para los usuarios remotos con conexiones de banda ancha, se pueden hacer casos especiales. Puede configurar IPTables para aceptar conexiones desde clientes SSH y CIPE remotos.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p udp --sport 22 -j ACCEPT |
Las peticiones de conexión CIPE desde afuera se pueden aceptar con el comando siguiente (reemplazando x con su número de dispositivo):
iptables -A INPUT -p udp -i cipcbx -j ACCEPT iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT |
Debido a que CIPE utiliza su propio dispositivo virtual el cual transmite paquetes de datagramas (UDP), la regla habilita a la interfaz cipcb para conexiones entrantes, en vez de puertos fuente o destino (aunque estos se pueden utilizar en lugar de opciones de dispositivos). Para información sobre el uso de CIPE, consulte el Capítulo 6.
Hay otros servicios para los cuales puede necesitar definir reglas. Consulte el Manual de referencia de Red Hat Enterprise Linux para información completa sobre IPTables y sus varias opciones.
Estas reglas permiten el acceso a servicios regulares y seguros en el cortafuegos; sin embargo, no permiten a nodos detrás del cortafuegos acceder a estos servicios. Para permitir el acceso a la LAN de estos servicios, puede utilizar NAT con reglas de filtrado IPTables.