Como iniciar reglas de iptables automaticamente

Supongamos que tenemos nuestras reglas de iptables ya pensadas, pero sin importar qué tan bien las escribamos en una terminal, siempre cuando reiniciamos el ordenador es como si nunca hubiéramos declarado esas reglas… o sea, cada vez que reiniciamos el ordenador, la reglas o cambios que hayamos hechos en iptables se pierden.

Para evitar eso, existen varias soluciones… yo les hablaré acá de la forma en que yo me aseguro de que eso no suceda 🙂

Ya sabiendo qué reglas usar, las ponemos en un archivo (/etc/iptables-script por ejemplo) y le damos permisos de ejecución (chmod +x /etc/iptables-script.sh), una vez hecho eso, solo queda un paso más 😉

Pondré como ejemplo a las reglas para iptables que uso yo en mi laptop, las dejo en el Paste nuestro: Paste No.4411

1. Yo tengo esas reglas y las pongo en un archivo llamado: iptables-script , que se encuentra en /etc/

2. Luego le doy permisos de ejecución: chmod +x /etc/iptables-script

3. Y ahora el paso final, debemos decirle al sistema que ejecute ese script cuando inicie, para eso lo ponemos en el archivo /etc/rc.local. Pueden ver mi rc.local acá: Paste No.4412

Listo, nada más, cuando inicien su PC se aplicarán las reglas (si están todas 100% bien) 😀

Y no se preocupen… vendrá un tutorial (pronto espero terminarlo) MUY detallado sobre iptables, orientado a novatos, explicado de forma bastante divertida y simple 🙂

Saludos

Comparte para difundir

Si te ha gustado nuestro contenido ahora puedes ayudar a difundirlo en las redes sociales de manera sencilla usando los siguientes botones:

Envía
Pinea
Print

16 comentarios

  1.   ezitoc dijo

    Muchas gracias por la info. IPtables es una asignatura pendiente que siempre estiro para otro momento. Esperando el tutorial! En particular quisiera poder conectarme desde cualquier lugar a la compu de mi casa vía ssh, pero se me complica porque en casa tengo un Router y la IP que mi ISP me provee cambia frecuentemente. Por no-ip.org he podido crear un host, el tema es que me parece que tengo los puertos bloqueados (del Router y no se si por IPTables también). En fin, como dije anteriormente, esperando el tuto!

    1.    KZKG^Gaara dijo

      Hola y bienvenido 😀
      Sobre el router no sé, pero podría ser sip… podría estar bloqueado ahí. Ahora, sobre tu ordenador, si no usas ningún firewall, bastaría con instalar SSH e iniciarlo y listo, puerto 22 abierto solicitando password 🙂

      Estoy trabajando en el otro tutorial, de veras lo estoy explicando muy didácticamente y simple jaja.
      Saludos y gracias por tu comentario 😀

  2.   wheezy dijo

    Otro por aqui esperando cositas nuevas sobre iptables

    1.    KZKG^Gaara dijo

      Está en camino 😀
      Gracias por pasarte y comentar ^-^

  3.   faustod dijo

    Bueno esto de iptables es una de las cosas mas facinantes que aun no conozco pero lo poco que he visto hace pensar que hace years que debi decidir usar Gnu/Linux. Me gusta….

  4.   Oscar dijo

    Bueno amigo, yo siempre estoy pendiente para poner en práctica los buenos tutos que ustedes publican . El de Iptables estaré esperándolo.

  5.   faustod dijo

    Hermano,

    Pero esta maquina esta sirviendo como proxy o es solo para conectarte a internet y estar protegido? hay cosas que no entiendo.

    1.    KZKG^Gaara dijo

      No no nada de proxy, para proxy se necesitaría abrir además el puerto de ese servicio (3128 por ejemplo). No te preocupes, pondré un tutorial explicando iptables 😀

  6.   Hugo dijo

    En Debian, una forma de hacer que las reglas carguen automáticamente es instalando el paquete iptables-persistent (algo aparentemente no muy conocido)

    Yo comencé a usar esta variante, pero finalmente opté por colocar un script en /etc/network/if-pre-up.d/ para poder hacer otras cosas mas avanzadas como establecer políticas restrictivas como fallback por si hay un fallo con las reglas principales.

  7.   Claudio dijo

    Podrías explicar qué establecés en el Paste No.4411? Lo leí pero no sé de qué va je!

    (En caso de que hayas publicado ya otro tutorial disculpa la pregunta pero busqué iptables y encontré unos pocos tutos)
    Y, por otro lado, lo que mencionan del paquete iptables-persistent sirve como reemplazo a lo que mencionas?

    Por lo pronto ya estoy implementando lo que detallas en http://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/

    1.    KZKG^Gaara dijo

      Hola 😀
      Sí, en realidad no es tan complicado.

      – Primeramente establezco variables, para así ahorrar escribir algunos caracteres de más, esto de la línea 4 a la 18.
      – Luego de la 23 a la 25 limpio todo lo que haya escrito en iptables, que esté en blanco o 100% limpio para entonces yo escribir las reglas.
      – En la 29 y 30 establezco que por defecto NO permitiré ningún tráfico entrante (input) en mi laptop, y ningún tráfico que pase por ella (forward)
      – En la 34 digo que lo (lo=localhost, que es la propia laptop) puede usar la red.
      – En la 38 especifico que las conexiones que yo inicie, si esas conexiones generan paquetes que intentarán entrar en el ordenador, como yo fui el inicio de esos paquetes (pues se generaron por algo que yo hice) entonces podrán entrar.
      – Ahora a partir de la 42 empiezo a permitir conexiones de diferentes tipos o por diferentes puertos. O sea, en la No.42 permito ping entrante, desde la red de mi casa (variable casa_network) hacia la IP que tiene mi laptop en mi casa (variable geass_casa_lan).
      – En la 43 lo mismo, pero en este caso especifico que es la IP de mi laptop en la casa sí, pero en vez de LAN será por Wifi.
      – Y de ahí en adelante es el mismo tipo de reglas… permitir acceso a determinados puertos o servicios que tengo en mi laptop, a determinadas IPs o redes 🙂

      Te recomiendo de veras leer esto: http://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/

      Si luego de esto aún te quedan dudas con determinadas reglas, por favor me preguntas acá mismo o por el foro (http://foro.desdelinux.net) y de veras te aclaro lo que haga falta 🙂

      Sobre iptables-persistent en realidad no lo he usado, no podría asegurarte… sucede que filtrar paquetes, iptables específicamente es un asunto bastante delicado, pues de esto depende gran parte de la seguridad de nuestro sistema, y por esto mismo es que si no estoy seguro de algo, entonces no aseguro su correcto funcionamiento.

      Saludos 😀

      1.    claudio dijo

        Gracias por la respuesta. Sí leí el link que me pasas! De hecho, hasta que apago/reinicio se están aplicando sudo iptables -A INPUT -i lo -j ACCEPT
        sudo iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT (más el previo que mencionan en dicho post)
        .
        Después de un par de lecturas sobre firewalls y como me veo obligado a mantener contacto y recibir archivos que provienen de PC con M$ me pareció correcto implementar iptables.
        Si copio el contenido del Paste No.4411 a mi notebook tendría que cambiar algo o tendría que funcionar sin más?

        1.    KZKG^Gaara dijo

          Cada ordenador es diferente, porque cada usuario lo es. Tienes primero que definir qué servicios tienes en tu ordenador (web, etc) y saber cuáles deseas que sean públicos (que otros puedan acceder), y cuáles no.

          En mi script (que tengo que modificar ya jeje) defino que el servidor web (HTTP) será visible para determinadas IPs, el ping lo permitiré para todos en determinadas redes, etc etc etc.

          Si necesitas ayuda escríbeme a mi email personal, con mucho gusto te ayudo: kzkggaara[@]desdelinux[.]net

          O bien, deja un post en nuestro foro y más usuarios te ayudaremos: http://foro.desdelinux.net

          1.    Claudio dijo

            Estoy armando un tema en el foro, gracias por las respuestas. Y preparate para unas cuántas dudas más je! De todas maneras estoy leyendo un poco del tema para no abusar

  8.   Adriana Delmonte dijo

    probando… a ver si me recibes, que tengo un monton de preguntas que hacerte…!

  9.   seanns dijo

    hola bro queria saver si hay mas tutoriales aparte de este puesto que comienzo en iptables y quiero documentarme

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.