"Seguridad en Sistemas de Información": Tablas Predefinidas de IPtables

El Framework de netfilter le permite al administrador del sistema definir reglas acerca de qué hacer con los paquetes de red. Las reglas se agrupan en cadenas: cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas: cada tabla está asociada con un tipo diferente de procesamiento de paquetes.

Los objetivos básicos son:

• ACCEPT. Acepta el paquete.

• DROP. Rechaza el paquete.

• RETURN. Cuando un paquete entra en una regla que tiene como objetivo RETURN, pueden suceder dos cosas: si la cadena es una subcadena de otra, entonces deja de examinarse la subcadena y se sigue con la cadena principal; y si la cadena es la principal y tiene como objetivo RETURN, entonces se aplicará la política por defecto, normalmente ACCEPT o DROP.

• QUEUE. Pasa el paquete a espacio de usuario, donde otro programa los puede recoger y analizar.

En iptables existen tres tipos de tablas, cada una con unas cadenas internas predefinidas. Dependiendo de lo que queramos hacer, necesitaremos utilizar unas tablas junto con sus cadenas. Los 3 tipos de tablas son: filter, nat y mangle.

En cada tabla, nos podremos encontrar con alguna de estas cadenas predefinidas:

• INPUT. Esta cadena se utiliza para los paquetes de entrada.

• OUTPUT. Esta cadena se utiliza para los paquetes salientes.

• FORWARD. Si los paquetes van destinados a otra máquina que no sea la local, se utilizara esta cadena.

• PREROUTING. Se utiliza para el manejo de paquetes antes de que sean enrutados.

• POSTROUTING. El manejo de paquetes se realiza después de su enrutamiento.

LA TABLA FILTER

Esta es la tabla por defecto de iptables. Es la que utilizaremos para definir reglas de filtrado. Sus cadenas son:

• INPUT

• OUTPUT

• FORWARD

y sus objetivos serán:

• ACCEPT

• DROP

• QUEUE

• RETURN

LA TABLA NAT

Cuando queramos utilizar cualquier tipo de NAT, esta será la tabla a utilizar. Sus cadenas son:

• PREROUTING

• OUTPUT

• POSTROUTING

y sus objetivos son:

• DNAT

• SNAT

• MASQUERADING

LA TABLA MANGLE

En esta tabla podremos modificar parámetros de los paquetes como el TOS (Type Of Service) de IPv4. Está será la tabla que utilizaremos para el marcado de paquetes y posterior priorización para aplicar QoS. Esta tabla contiene todas las cadenas anteriores:

• INPUT

• OUTPUT

• FORWARD

• PREROUTING

• POSTROUTING

sus principales objetivos son:

• TOS

• MARK

Esquema de firewall entre redes, en la que solo se filtra y no se hace NAT.