Netfilter (o Proyecto Netfilter) es una comunidad de desarrolladores de software e ingenieros conocidos principalmente por el framework disponible en el núcleo de Linux que permite interceptar y manipular paquetes de red. Dicho framework permite interactuar con paquetes en diferentes etapas del procesamiento dentro del sistema operativo, ofreciendo funcionalidades de cortafuegos y otras utilidades relacionadas. Netfilter es el nombre que recibe el proyecto de comunidad y también el conjunto de herramientas software.
Las utilidades o componentes más populares en el contexto de Netfilter son nftables e iptables, herramientas de cortafuegos que permiten no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que también ofrece herramientas de espacio de usuario y librerías.
La herramienta nftables (e iptables) son las utilidades de espacio de usuario mediante las cuales los administradores puede definir políticas de filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones, que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prácticamente todas las distribuciones de Linux actuales.
(Fuente Wikipedia)Las utilidades o componentes más populares en el contexto de Netfilter son nftables e iptables, herramientas de cortafuegos que permiten no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que también ofrece herramientas de espacio de usuario y librerías.
La herramienta nftables (e iptables) son las utilidades de espacio de usuario mediante las cuales los administradores puede definir políticas de filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones, que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prácticamente todas las distribuciones de Linux actuales.
Hay muchas maneres de conseguir que nuestras reglas se arranquen al inicio del sistema. En esta ocasión os quiero explicar como se hace mediante el servicio netfilter-persistent.
Primero configuramos nuestras reglas con iptables. Cuando las tengamos apunto y tengamos confirmado que son esas las reglas que se quieran arrancar al inicio del sistema, instalamos iptables-persistent:
apt install iptables-persistent
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Leyendo la información de estado... Hecho
Se instalarán los siguientes paquetes adicionales:
netfilter-persistent
Se instalarán los siguientes paquetes NUEVOS:
iptables-persistent netfilter-persistent
Al hacerlo, a mitad de instalación nos preguntará si deseamos guardar la configuración actual de nuestras reglas. Es el momento de decirle que si:
Si más adelante cambiamos las reglas, facilmente las podemos actualizar. Estos comandos te seran útiles:
netfilter-persistent start
netfilter-persistent stop
netfilter-persistent flush
netfilter-persistent save
Y también podemos comprobar el estado del servicio, arrancarlo y pararlo como cualquier otro servicio.
systemctl status netfilter-persistent
● netfilter-persistent.service - netfilter persistent configuration
Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
Active: active (exited) since Tue 2020-02-11 10:15:39 CET; 5min ago
Process: 407 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS)
Main PID: 407 (code=exited, status=0/SUCCESS)