Día 27: El primer muro - Firewall Permitir y denegar

el

 


Querido diario:

Hoy es el vigesimo séptimo día en las trincheras tecnológicas.
El viento digital sopla con fuerza en la frontera de nuestro campamento, y los paquetes de red cruzan el cielo como proyectiles invisibles. Los reclutas permanecen apostados sobre los muros del firewall, observando el tráfico que entra y sale como si fueran caravanas en una zona de guerra.

El enemigo no siempre ataca con estruendo. A veces se infiltra disfrazado de tráfico legítimo, otras veces golpea con fuerza bruta contra nuestros puertos abiertos.
Y hoy, el sargento Tables nos reunió frente a la muralla y, con voz firme, declaró:

—“Cadetes, un muro sin reglas es solo decoración. Hoy aprenderán quién pasa… y quién se queda afuera.”

Las reglas del combate digital

Antes de intervenir en la muralla, el sargento nos recordó que IPTABLES funciona como una cadena de mando. Cada paquete atraviesa reglas en orden, y la primera coincidencia dicta su destino: aceptar, denegar o rechazar.

Primero, verificamos el estado actual del muro defensivo:

sudo iptables -L -v

Esto nos permite observar:

  • Políticas por defecto

  • Reglas activas

  • Cantidad de paquetes y bytes procesados

Luego, iniciamos la reorganización táctica.

Reglas básicas de aceptación y denegación

El sargento Tables ordenó abrir solo lo esencial para el funcionamiento del bastión:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -j DROP
  • Permitimos acceso SSH (refuerzos aliados)
  • Todo lo demás es considerado hostil y se bloquea

Aquí aprendimos una lección clave:
El orden de las reglas importa. Si el DROP estuviera antes, bloquearía incluso el acceso legítimo. En la guerra del tráfico, el orden es jerarquía.

Uso estratégico de REJECT y OUTPUT (Control de salidas)

El sargento nos llevó luego a la retaguardia del campamento: el tráfico saliente.
“No basta con defender la entrada”, dijo. “También hay que controlar qué información abandona la fortaleza.”

Implementamos reglas con OUTPUT y REJECT:

sudo iptables -A OUTPUT -p tcp --dport 25 -j REJECT
sudo iptables -A OUTPUT -p tcp --dport 23 -j REJECT
sudo iptables -A OUTPUT -p tcp --dport 4444 -j REJECT

¿Por qué usar REJECT en lugar de DROP?

El sargento lo explicó con crudeza táctica:

  • DROP: El enemigo dispara y nunca recibe respuesta (silencio absoluto).

  • REJECT: El enemigo recibe una negativa clara (mensaje de rechazo).

Casos de uso en el campo de batalla:

  • Bloquear SMTP saliente (puerto 25) para evitar spam desde sistemas comprometidos.

  • Denegar Telnet (puerto 23) por ser un protocolo inseguro.

  • Evitar conexiones a puertos usados por malware o túneles no autorizados.

REJECT es útil cuando queremos que el sistema responda activamente y cierre la conexión de forma controlada, evitando esperas innecesarias y comportamientos erráticos en aplicaciones legítimas.

Modificar, eliminar y reposicionar reglas

Durante la inspección, detectamos reglas mal ubicadas.
El sargento Tables nos enseñó a visualizar el orden exacto:

sudo iptables -L --line-numbers -n

Eliminar una regla específica:

sudo iptables -D INPUT 2

Insertar una regla en una posición estratégica:

sudo iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT

Porque en la muralla digital, la posición de un soldado puede decidir el resultado de toda la batalla.

 Ejemplo práctico en la misión

Situación real:
Un servidor debía permitir SSH y HTTP, pero bloquear todo lo demás.

Configuración táctica:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -j DROP

Resultado:

  • Acceso controlado
  • Servicios funcionales
  • Superficie de ataque reducida
  • Una defensa disciplinada, no improvisada.
  • Solo deja pasar lo establecido y relacionado, no las conexiones nuevas.

Cierre y reflexión del frente

Al caer la noche digital, el sargento Tables observó las nuevas reglas grabadas en la muralla del firewall.
El tráfico enemigo disminuyó.
Los accesos legítimos fluían sin interrupciones.
La fortaleza, por primera vez en días, respiraba estabilidad.

Hoy los reclutas comprendieron que permitir todo es debilidad, y bloquear todo sin criterio es ignorancia. La verdadera defensa está en saber decidir con precisión quirúrgica qué tráfico vive y cuál muere en la frontera.

Misión cumplida.
Pero la guerra del tráfico nunca se detiene.

Mañana avanzaremos hacia un nuevo desafío: comprender desde dónde viene cada paquete y hacia dónde se dirige, porque no basta con vigilar el muro… también hay que entender las rutas del enemigo.

Reclutas, revisen sus reglas, cuestionen sus configuraciones y compartan en los comentarios qué reglas consideran indispensables en su propia fortaleza digital.

El sargento Tables lo dejó claro antes de retirarse:

“Aquí no hay errores, solo lecciones aprendidas por el camino difícil.”

Comentarios

Publicar un comentario