ACTIVIDAD #4

En esta actividad se analiza un conjunto de reglas aplicadas bajo un enfoque de política restrictiva por defecto (default deny), alineado con buenas prácticas recomendadas en guías de hardening de servidores Linux.

Escenario de red aplicado

Diagrama de reglas de firewall

Topología lógica representativa: 

											Internet
												|
											[Firewall Linux]
												|
									----------------------------
									|                          |
							 [192.1.2.10] SMTP         [192.1.2.11] Web
									|
							   Red interna 192.1.2.0/24

El firewall controla el tráfico hacia servidores específicos dentro de la red 192.1.2.0/24.

Análisis detallado de reglas

Regla 1 – Política restrictiva global

Comando:

							iptables -P INPUT DROP && iptables -P OUTPUT DROP && iptables -P FORWARD DROP
  • Define política por defecto en DROP para todas las cadenas principales.
  • Implementa el principio de denegación por defecto.
  • Todo tráfico debe ser explícitamente autorizado.

Este enfoque es recomendado en manuales de administración segura de servidores Linux.

Regla 2 – Permitir tráfico establecido

							iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  • Permite paquetes pertenecientes a conexiones ya establecidas.
  • Evita bloquear respuestas legítimas del servidor.

El uso de state (o conntrack) implementa inspección con seguimiento de estado (stateful firewall).

Regla 3 – Salida TCP autorizada para la subred

							iptables -A OUTPUT -p tcp -s 192.1.2.0/24 -j ACCEPT
  • Permite tráfico TCP saliente desde la red interna.
  • Facilita comunicación hacia servicios externos.

Regla 4 – Publicación del servidor SMTP

							iptables -A INPUT -p tcp -d 192.1.2.10 --dport 25 -m state --state NEW -j ACCEPT
  • Permite nuevas conexiones TCP hacia el puerto 25 (SMTP).
  • Restringe el acceso únicamente al servidor de correo.

Esto reduce la exposición de otros equipos de la red.

Regla 5 – Respuesta del servicio de correo

							iptables -A OUTPUT -p tcp -s 192.1.2.10 --sport 25 -j ACCEPT
  • Permite tráfico saliente originado desde el puerto 25.
  • Autoriza respuestas del servidor SMTP.

Regla 6 – Publicación del servidor web

							iptables -A INPUT -p tcp -d 192.1.2.11 --dport 80 -m state --state NEW -j ACCEPT
  • Permite nuevas conexiones HTTP hacia el servidor web.
  • Limita el acceso exclusivamente al equipo 192.1.2.11.

Regla 7 – Navegación web desde la red interna

							iptables -A OUTPUT -p tcp -s 192.1.2.0/24 --dport 80 -j ACCEPT
  • Permite tráfico TCP saliente hacia el puerto 80.
  • Habilita navegación HTTP desde la subred interna.

Conclusión

El conjunto de reglas analizado demuestra una configuración estructurada basada en el principio de mínimo privilegio y segmentación lógica de servicios. Al establecer políticas DROP por defecto y permitir únicamente tráfico necesario para servicios específicos (SMTP y HTTP), se reduce considerablemente el riesgo de accesos no autorizados.

En escenarios reales, especialmente en pequeñas y medianas empresas en México, es común encontrar configuraciones permisivas que exponen múltiples puertos innecesariamente. Implementar reglas específicas por servicio, utilizar seguimiento de estado y documentar adecuadamente la política de firewall fortalece la postura de seguridad organizacional.

Además, la correcta administración de iptables debe complementarse con monitoreo de logs, actualización constante del sistema y pruebas periódicas de seguridad, ya que el firewall es solo una capa dentro de una estrategia integral de defensa.

Referencias técnicas

  • Guía de administración de iptables en GNU/Linux – Red Hat (Español): https://access.redhat.com/documentation/es-es/
  • Documentación oficial de Ubuntu Server – Configuración de firewall: https://ubuntu.com/server/docs/security-firewall
  • Instituto Nacional de Ciberseguridad (INCIBE) – Buenas prácticas en ciberseguridad: https://www.incibe.es
  • Manual Netfilter / iptables (documentación comunitaria en español): https://www.netfilter.org/documentation/