Día 30: El primer muro - Firewall router militar

el


 

Querido diario:

Hoy es el trigésimo día en las trincheras tecnológicas.
La frontera de nuestro campamento digital ya no es solo un muro… es una fortaleza viva. Las antenas parpadean como torres de vigilancia, los logs caen como informes del frente y los paquetes atraviesan el aire como proyectiles invisibles. El enemigo ha cambiado de táctica: ya no intenta romper la muralla, ahora intenta infiltrarse por las rutas internas, mezclándose entre redes aliadas como espías camuflados.

El Sargento Tables desplegó el mapa táctico sobre la mesa de comando: cuatro interfaces, cuatro frentes de batalla.

  • enp0s1 → WAN (frontera exterior)
  • enp0s2 → LAN (cuartel general)
  • enp0s3 → WIFI (zona civil, más vulnerable)
  • enp0s4 → SYSADMIN (alto mando)

La orden fue clara y contundente:
convertir el firewall en un ROUTER MILITAR.

Instalación y Reconocimiento

Antes de desplegar reglas, aseguramos el equipamiento del sistema.

sudo apt-get update
sudo apt-get install iptables

Verificamos el estado actual del firewall:

sudo iptables -L -v --line-numbers
sudo iptables -t nat -L -v

El Sargento Tables fue claro:
“El orden de las reglas es la cadena de mando. Si fallas en el orden, abres una brecha.”

Paso 1: Activar el Enrutamiento (Capacidad de Router)

Un firewall sin forwarding es solo un guardia.
Un firewall con forwarding… es un comandante de rutas.

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

Esto permite que el sistema enrute tráfico entre interfaces como un puesto de control militar.

Paso 2: Limpiar el Terreno y Definir Políticas Base

Primero, despejamos reglas antiguas que puedan sabotear la estrategia.

sudo iptables -F
sudo iptables -t nat -F
sudo iptables -X

Ahora establecemos doctrina defensiva por defecto:

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

Interpretación táctica:

  • Todo lo entrante: bloqueado
  • Todo lo que cruza redes: bloqueado
  • Todo lo saliente: permitido (controlado después)

Paso 3: Permitir Conexiones Establecidas y Relacionadas (Disciplina de Tráfico)

Regla fundamental del campo de batalla:
si la comunicación fue autorizada, su respuesta debe regresar.

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Esto evita romper servicios legítimos y mantiene la logística de red operativa.

Paso 4: Acceso SSH Exclusivo del Alto Mando (enp0s4)

El acceso administrativo debe ser un canal seguro, no una puerta abierta al enemigo.

sudo iptables -A INPUT -i enp0s4 -p tcp --dport 22 -j ACCEPT

Explicación:

  • Solo la red SYSADMIN puede usar SSH
  • Cualquier otra interfaz queda bloqueada por la política DROP

Resultado: el mando técnico tiene control total sin exponer la fortaleza.

Paso 5: Aislar LAN y WIFI (Segmentación Estratégica)

Orden directa del Sargento Tables:
“La red civil no debe ver el cuartel general. A excepción de un único activo”

WIFI puede acceder a un objetivo específico en LAN

Se detectó un servidor crítico en LAN: 192.168.1.112
La unidad WIFI necesita acceso controlado a ese recurso estratégico.

sudo iptables -A FORWARD -i enp0s3 -o enp0s2 -d 192.168.1.112 -j ACCEPT

Bloqueamos comunicación entre LAN y WIFI:

sudo iptables -A FORWARD -i enp0s2 -o enp0s3 -j DROP
sudo iptables -A FORWARD -i enp0s3 -o enp0s2 -j DROP

Esto crea dos zonas operativas completamente separadas.

Interpretación militar:

  • El WIFI solo puede acceder a un objetivo específico
  • No al resto de la red LAN
  • Acceso quirúrgico, no masivo.

Paso 6: Dominio Total del SYSADMIN (Acceso Unidireccional)

El alto mando debe poder inspeccionar todas las redes,
pero ninguna red debe iniciar contacto con él.

Permitimos que SYSADMIN acceda a todas las redes:

sudo iptables -A FORWARD -i enp0s4 -o enp0s1 -j ACCEPT
sudo iptables -A FORWARD -i enp0s4 -o enp0s2 -j ACCEPT
sudo iptables -A FORWARD -i enp0s4 -o enp0s3 -j ACCEPT

Y bloqueamos accesos iniciados hacia SYSADMIN (ya cubierto por política DROP + estado ESTABLISHED).

Esto significa:

  • El comandante puede observar todos los frentes

  • Ningún frente puede atacar al comandante

Paso 7: Salida a Internet desde LAN y WIFI (Control de Suministros)

Permitimos que las redes internas accedan al exterior:

sudo iptables -A FORWARD -i enp0s2 -o enp0s1 -j ACCEPT
sudo iptables -A FORWARD -i enp0s3 -o enp0s1 -j ACCEPT

Luego aplicamos NAT para camuflar las redes internas:

sudo iptables -t nat -A POSTROUTING -o enp0s1 -j MASQUERADE

Función estratégica del MASQUERADE:

  • Oculta IP internas
  • Permite navegación externa segura
  • Reduce superficie de exposición al enemigo

Orden Final de las Reglas (Cadena de Mando Correcta)

# Limpiar reglas anteriores
iptables -F
iptables -t nat -F
iptables -X

# Políticas por defecto (doctrina defensiva)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Permitir tráfico esencial del sistema (loopback)
iptables -A INPUT -i lo -j ACCEPT

# Permitir conexiones establecidas y relacionadas (logística de red)
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Permitir SSH solo desde la red SYSADMIN (enp0s4)
iptables -A INPUT -i enp0s4 -p tcp --dport 22 -j ACCEPT

# Permitir que SYSADMIN acceda a todas las redes
iptables -A FORWARD -i enp0s4 -o enp0s1 -j ACCEPT
iptables -A FORWARD -i enp0s4 -o enp0s2 -j ACCEPT
iptables -A FORWARD -i enp0s4 -o enp0s3 -j ACCEPT

# Bloquear acceso hacia la red SYSADMIN desde otras redes (implícito por política DROP)

# Excepción: WIFI puede acceder solo al servidor específico en LAN
iptables -A FORWARD -i enp0s3 -o enp0s2 -d 192.168.1.112 -j ACCEPT

# Aislar LAN y WIFI (no deben verse entre sí)
iptables -A FORWARD -i enp0s2 -o enp0s3 -j DROP
iptables -A FORWARD -i enp0s3 -o enp0s2 -j DROP

# Permitir salida a Internet desde LAN y WIFI hacia WAN
iptables -A FORWARD -i enp0s2 -o enp0s1 -j ACCEPT
iptables -A FORWARD -i enp0s3 -o enp0s1 -j ACCEPT

# NAT para salida a Internet (enmascaramiento)
iptables -t nat -A POSTROUTING -o enp0s1 -j MASQUERADE


Porque en la guerra digital, el orden de reglas define quién vive… y qué paquete cae en combate.

Reflexión desde la Torre de Vigilancia

Hoy comprendí algo crucial: un firewall simple defiende. Un firewall router militar controla territorios completos.

Segmentar redes no es paranoia… es estrategia. Cada interfaz es un frente. Cada regla es un soldado. Cada paquete es una decisión táctica.

El Sargento Tables observó los gráficos de tráfico estabilizarse y murmuró:

—Ahora el campamento no solo resiste… ahora domina el terreno.

La fortaleza digital está segmentada. El mando está protegido. Las rutas están bajo control absoluto.

Conclusión

Mañana enfrentaremos un problema silencioso pero devastador:
las reglas que no se guardan… desaparecen tras el reinicio, como tropas que abandonan su puesto sin aviso. Entraremos en el terreno de la persistencia, scripts automáticos y disciplina permanente del firewall.

Porque un muro sin memoria es una defensa temporal.

Reclutas, revisen sus interfaces, dibujen su topología de red y pregúntense:
¿mi firewall solo bloquea… o gobierna el tráfico?

Reporten su arquitectura en los comentarios y expliquen cómo segmentarían sus propias redes de combate digital. El Sargento Tables cierra el informe del día con voz firme:

"Aquí no hay errores, solo lecciones aprendidas por el camino díficil".

Comentarios

Publicar un comentario