Los principales comandos de IPtables son los siguientes (argumentos de una orden):

-A append agrega una regla a una cadena.

-D delete borra una regla de una cadena especificada.
-R replace reemplaza una regla.
-F flush borra todas las reglas de una cadena.
-Z zero pone a cero todos los contadores de una cadena.
-P policy explica al kernel qu hacer con los paquetes que no coincidan con ninguna regla.
-E rename-chain cambia el orden de una cadena.

Condiciones principales para Iptables:

-p protocol la regla se aplica a un protocolo.

-s src source la regla se aplica a una IP de origen.
-d dst destination la regla se aplica a una Ip de destino.
-i in-interface la regla de aplica a una interfaz de origen, como eth0.
-o out-interface la regla se aplica a una interfaz de destino.

Condiciones TCP/UDP

-sport source-port selecciona o excluye puertos de un determinado puerto de origen.

-dport destination-port selecciona o excluye puertos de un determinado puerto de destino.

Configurar reglas por defecto

La configuracin por defecto de un firewall debera ser, traducido al espaol, bloquear todo excepto [reglas]. Para configurar el
firewall para que bloquee todas las conexiones debemos teclear:

iptables -P INPUT DROP

iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Para aplicar una regla que filtre un determinado puerto, debemos ejecutar:

iptables -A INPUT -p tcp sport 22 22 crea una regla para el puerto de origen tcp 2222

Permitir conexiones entrantes

iptables -A INPUT -i [interface] -p [protocolo] dport [puerto] -m state state NEW,ESTABLISHED -j ACCEPT

-i: debemos configurar la interfaz, por ejemplo, eth0.

-p: protocolo. Debemos especificar si el protocolo ser TCP o UDP.
dport: el puerto que queremos permitir, por ejemplo, en caso de HTTP sera el 80.

iptables -A INPUT -i eth0 -p tcp dport 80 -m state state NEW,ESTABLISHED -j ACCEPT

Permitir las conexiones salientes

iptables -A OUTPUT -o [interfaz] -p [protocolo] sport [puerto] -m state state ESTABLISHED -j ACCEPT

-o: debemos configurar la interfaz, por ejemplo, eth0.

-p: protocolo. Debemos especificar si el protocolo ser TCP o UDP.
sport: el puerto que queremos permitir, por ejemplo, en caso de HTTPS sera el 443.

iptables -A OUTPUT -o eth0 -p tcp sport 80 -m state state ESTABLISHED -j ACCEPT

Permitir los paquetes ICMP

Para poder hacer ping a otros servidores:

iptables -A OUTPUT -p icmp icmp-type echo-request -j ACCEPT

Para permitir recibir solicitudes de ping de otros equipos:

iptables -A INPUT -p icmp icmp-type echo-reply -j ACCEPT

Firewall con poltica predeterminada DROP

#!/bin/sh
## Vaciamos las reglas
iptables -F
iptables -X
iptables -t nat -F
## Establecemos predeterminada
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# permitimos el trfico loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Configuramos el acceso a nuestra IP
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
# El cortafuegos es tambin un servidor web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
# El cortafuegos es tambin un servidor smtp
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
# Acceso a puertos 80
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
# Acceso a FTP puertos 20,21
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT
# Acceso a DNS Puerto 53
iptables -A INPUT -p tcp
iptables -A OUTPUT -p tcp
iptables -A INPUT -p udp
iptables -A OUTPUT -p udp

--dport
--sport
--dport
--sport

53
53
53
53

-j
-j
-j
-j

ACCEPT
ACCEPT
ACCEPT
ACCEPT

## correo electrnico puerto 25, 110 y 143

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp --sport 143 -j ACCEPT