IPTABLES

2.6.1. Filtraje de paquetes
El kernel de Linux emplea la herramienta Netfilter para filtrar paquetes, lo que permite a algunos
de ellos ser recibidos o pasados mediante el sistema mientras detiene a otros. Esta herramienta se
incorpora en el kernel de Linux y tiene tres tablas o listas de reglas incorporadas, así:
filter — La tabla predeterminada para manejar paquetes de redes.
nat — Sirve para alterar paquetes que crean una nueva conexión y es utilizado por
Traducción de dirección de red (NAT).
mangle — Sirve para tipos específicos de alteración de paquetes.

Cada tabla tiene un grupo de cadenas incorporadas que corresponde a las acciones realizadas en el
paquete por netfilter.
Las cadenas incorporadas para la tabla de filtraje son las siguientes:

INPUT — Se aplica a los paquetes de redes destinados al host.
OUTPUT — Se aplica a los paquetes de red generados localmente.
FORWARD — Se aplica a los paquetes de redes enrutados a través del host.
Las cadenas incorporadas para la tabla nat son las siguientes:

PREROUTING — Altera los paquetes de redes a la llegada.
OUTPUT — Altera los paquetes de redes generados localmente antes de ser enviados.
POSTROUTING — Altera los paquetes de redes antes de ser enviados.
Las cadenas incorporadas para la tabla de mangle son las siguientes:

INPUT — Altera los pfilteraquetes de redes destinados al host.
OUTPUT — Altera los paquetes de redes generados localmente antes de ser enviados.
FORWARD — Altera los paquetes de redes enrutados a través del host.
PREROUTING — Altera los paquetes entrantes de red antes de ser enrutados.
POSTROUTING — Altera lo s paquetes de redes antes de ser enviados.
Cada paquete de redes recibido por o enviado desde el sistema de Linux está sujeto al menos a una
tabla. Sin embargo, el paquete puede estar sujeto a varias reglas dentro de cada tabla antes de
emerger al final de la cadena. La estructura y propósito de dichas reglas pueden variar, pero suelen
tratar de identificar el paquete que ingresa o sale de una dirección IP determinada o de un grupo de
direcciones, cuando usan un protocolo determinado y un servicio de redes. La siguiente imagen
resume la forma como el subsistema de iptables examina el flujo de paquetes:

Detener el demonio firewalld e iniciar el servicio iptables #systemctl stop firewalld #systemctl start iptables .Instalar el servicio iptables #yum install iptables-services .- iptables -L -t filter --> lista tabla filter iptables -L -t nat --> lista tabla de nateo .Deshabilitar el demonio firewalld y habilitar el servicio iptables #systemctl mask firewalld #systemctl enable iptables .Comandos.