
Secció de Filtrat (filter)
Aquesta part gestiona les regles de control de trànsit en les cadenes INPUT, FORWARD i OUTPUT, que regulen quins paquets poden entrar, sortir o ser reexpedits a través del firewall.
Polítiques per Defecte
: INPUT ACCEPT → Accepta tot el trànsit entrant. Això significa que qualsevol paquet que no coincideixi amb una regla específica serà acceptat.
: FORWARD ACCEPT→ Accepta tot el trànsit de reexpedició entre interfícies de xarxa.
: OUTPUT ACCEPT → Permet tot el trànsit sortint sense restriccions.
Regles d’Entrada (INPUT)
Aquestes regles controlen el trànsit entrant cap al dispositiu (encaminador). Vegem algunes específiques:
-A INPUT -i ho -j ACCEPT→ Permet tot el trànsit en la interfície de loopback (el), necessària per al funcionament local del sistema.
-A INPUT -p tcp -m tcp –dport 21 -j ACCEPT → Permet trànsit FTP en el port 21.
-A INPUT -p tcp -m tcp –dport 20 -j ACCEPT→ Permet trànsit FTP-DATA en el port 20.
-A INPUT -p tcp -m tcp –dport 1024:1048 -j ACCEPT → Permet connexions en els ports dinàmics 1024-1048.
Regles de Reexpedició (FORWARD)
Aquí es configura el trànsit que passa a través de l’encaminador, és a dir, els paquets que s’envien entre interfícies de xarxa:
-A FORWARD -i enp1s0.10 -o enp1s0.20 -j ACCEPT → Permet trànsit entre les subxarxes enp1s0.10 i enp1s0.20.
-A FORWARD -i enp1s0 -o enp2s0 -j ACCEPT → Permet trànsit des de enp1s0 a enp2s0 (probablement la interfície de sortida a Internet).
-A FORWARD -i enp2s0 -o enp1s0 -m state –state RELATED,ESTABLISHED -j ACCEPT → Permet paquets de resposta des d’Internet cap a la xarxa interna, assegurant que només siguin connexions iniciades des de dins.
-A FORWARD -i enp2s0 -o enp1s0 -j REJECT –reject-*with icmp-*port-*unreachable → Bloqueja tot trànsit no autoritzat des d’Internet cap a la xarxa interna.
L’important aquí:
Es protegeix la xarxa interna en permetre sol trànsit de retorn.
Les regles permeten comunicació entre les VLANs (enp1s0.10, enp1s0.20, enp1s0.30).
Es bloqueja accés directe des d’Internet a la xarxa interna, la qual cosa és una bona pràctica de seguretat.
Regles de Sortida (OUTPUT)
-A OUTPUT -o ho -j ACCEPT → Permet trànsit en la interfície el, que és important per a processos interns del sistema.