¿Qué es el filtrado de IP?


El filtrado de IP es simplemente un mecanismo que decide qué tipos de datagramas de IP serán procesados normalmente y cuáles serán descartados. Por descartados se entiende que el datagrama se elimina y se ignora completamente, como si nunca se hubiera recibido. Usted puede aplicar muchos criterios , y en diferentes ordenamientos, para determinar qué datagramas desea filtrar; algunos ejemplos de esto son:

• Tipo de protocolo: TCP, UDP, ICMP, etc.
• Número de conector9 (para TCP/UDP)
• Tipo de datagrama: SYN/ACK, datos, petición de eco de ICMP, etc.
• Dirección de origen del datagrama: de donde proviene
• Dirección de destino del datagrama: adonde se dirige

Llegado este punto, resulta muy importante comprender que el filtrado de IP es una utilidad en la capa de red. Esto significa que este mecanismo no entiende nada acerca de la aplicación que utiliza las conexiones de red, sólo sabe acerca de las conexiones mismas. Por ejemplo, usted puede denegar el acceso a usuarios a su red interna por el puerto de defecto de telnet, pero si se apoya únicamente en el filtrado de IP, no podrá evitar que se utilice el programa de telnet en un puerto por el que usted permite el paso a través de su cortafuegos. Puede evitar este tipo de problemas haciendo uso de servidores intermediarios para cada servicio que permita que cruce su cortafuegos. Los servidores intermediarios comprenden la aplicación para la que fueron diseñados y por tanto evitan los abusos, tales como utilizar el programa de telnet para pasar a través de un cortafuegos utilizando el puerto de ’World Wide Web’. Si su cortafuegos soporta un servidor intermediario de ’World Wide Web’, aquella conexión de telnet será siempre respondida por el servidor intermediario que sólo permitará que pasen peticiones HTTP. Existe un gran número de programas servidores intermediarios. Algunos son ’software’ libre y muchos otros son productos comerciales. El documento ’Firewall-HOWTO’ 10 expone un subconjunto popular de aquellos, pero esto queda fuera del alcance de este libro.

El conjunto de reglas de filtrado de IP se construye a partir de muchas combinaciones de los criterios enumerados previamente. Por ejemplo, imagínese que usted quiere que los usuarios del ’World Wide Web’ dentro de la red de Virtual Brewery no tengan acceso a ningún servicio de Internet excepto a los servidores web. Entonces configuraría su cortafuegos permitiendo el reenvío de:

• datagramas con una dirección de origen dentro de la red de Virtual Brewery, una dirección de destino cualquiera y con un puerto de destino igual a 80 (el de WWW)
• datagramas con dirección de destino dentro de la red de Virtual Brewery y un puerto de origen igual a 80 (WWW) siendo cualquiera la dirección de origen

Nótese que se han utilizado dos reglas aquí. Se tiene que permitir que nuestros datos salgan fuera, pero también que la correspondiente respuesta vuelva. En la práctica, como se verá en breve, Linux simplifica esto y nos permite especificar lo mismo en una sola orden.

Califica este Artículo

Categoría: Conectividad y Redes.




Deja una respuesta