9.3. ¿Qué es el filtrado de IP?

El filtrado de IP es simplemente un mecanismo que decide qué tipos de datagramas de IP serán procesados normalmente y cuáles serán descartados. Por descartados se entiende que el datagrama se elimina y se ignora completamente, como si nunca se hubiera recibido. Usted puede aplicar muchos criterios , y en diferentes ordenamientos, para determinar qué datagramas desea filtrar; algunos ejemplos de ésto son:

Llegado este punto, resulta muy importante comprender que el filtrado de IP es una utilidad en la capa de red. Esto significa que este mecanismo no entiende nada acerca de la aplicación que utiliza las conexiones de red, sólo sabe acerca de las conexiones mismas. Por ejemplo, usted puede denegar el acceso a usuarios a su red interna por el puerto predeterminado de telnet, pero si se apoya únicamente en el filtrado de IP, no podrá evitar que se utilice el programa de telnet en un puerto por el que usted permite el paso a través de su cortafuegos. Puede evitar este tipo de problemas haciendo uso de servidores intermediarios para cada servicio que permita que cruce su cortafuegos. Los servidores intermediarios comprenden la aplicación para la que fueron diseñados y por tanto evitan los abusos, tales como utilizar el programa de telnet para pasar a través de un cortafuegos utilizando el puerto de 'World Wide Web'. Si su cortafuegos soporta un servidor intermediario de 'World Wide Web', aquella conexión de telnet será siempre respondida por el servidor intermediario que sólo permitará que pasen peticiones HTTP. Existe un gran número de programas servidores intermediarios. Algunos son software libre y muchos otros son productos comerciales. El documento 'Firewall-HOWTO' [2] expone un subconjunto popular de aquellos, pero esto queda fuera del alcance de este libro.

El conjunto de reglas de filtrado de IP se construye a partir de muchas combinaciones de los criterios enumerados previamente. Por ejemplo, imagínese que usted quiere que los usuarios del 'World Wide Web' dentro de la red de la Cervecera Virtual no tengan acceso a ningún servicio de Internet excepto a los servidores web. Entonces configuraría su cortafuegos permitiendo el reenvío de:

Nótese que se han utilizado dos reglas aquí. Se tiene que permitir que nuestros datos salgan fuera, pero también que la correspondiente respuesta vuelva. En la práctica, como se verá en breve, Linux simplifica esto y nos permite especificar lo mismo en una sola orden.

Notas

[1]

N. del T.: 'socket' en el original en inglés

[2]

N. del T.: existe una traducción oficial al castellano con el nombre de "Cortafuegos-Como".