Seguridad básica para un router hecho con Debian e Iptables

En el mundo actual, la seguridad de las redes es una prioridad fundamental. Configurar un router basado en Debian utilizando Iptables es una solución potente y flexible para proteger tu red. Este artículo te guiará a través de los pasos necesarios para securizar tu router con Debian y establecer reglas de Iptables efectivas.

1. Instalación y Configuración Básica

Instalar Debian

Primero, debes tener Debian instalado en tu máquina. Puedes descargar la última versión de Debian desde su sitio web oficial y seguir las instrucciones de instalación.

Instalar Iptables

Iptables generalmente viene preinstalado con Debian. Puedes verificar su instalación y actualizarlo con los siguientes comandos:

sudo apt update
sudo apt install iptables

2. Configuración de Interfaces de Red

Asegúrate de tener configuradas correctamente tus interfaces de red en /etc/network/interfaces o utilizando systemd-networkd si prefieres esa configuración.

Ejemplo de configuración en /etc/network/interfaces:

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
    address 192.168.1.1
    netmask 255.255.255.0

3. Habilitar el Enrutamiento

Para que tu Debian actúe como un router, debes habilitar el reenvío de paquetes. Edita /etc/sysctl.conf y asegúrate de que la siguiente línea no esté comentada:

net.ipv4.ip_forward = 1

Aplica los cambios con:

sudo sysctl -p

4. Configuración de Iptables

Políticas por Defecto

Establece políticas por defecto para las cadenas INPUT, FORWARD y OUTPUT. Esto asegura que cualquier tráfico no explícitamente permitido sea denegado:

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

Permitir Tráfico de Loopback

Permite el tráfico en la interfaz loopback y de conexiones ya establecidas o relacionadas:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Permitir SSH

Si necesitas acceso remoto a tu router, permite el tráfico SSH en el puerto 22:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Permitir DNS y DHCP

Permite tráfico DNS y DHCP si tu router también está proporcionando estos servicios:

sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT

Configurar NAT (Network Address Translation)

Si deseas que tu router permita el acceso a Internet desde una red privada, debes configurar NAT:

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

En este caso, eth0 es la interfaz conectada a Internet.

5. Guardar y Aplicar las Reglas

Para asegurarte de que tus reglas de Iptables se aplican al reiniciar, guarda las reglas actuales en un archivo:

sudo sh -c "iptables-save > /etc/iptables/rules.v4"

Puedes instalar iptables-persistent para cargar automáticamente las reglas al iniciar el sistema:

sudo apt install iptables-persistent

6. Monitoreo y Mantenimiento

Verificar el Estado de las Reglas

Puedes verificar las reglas actuales con:

sudo iptables -L -v -n

Monitorear Logs

Configura Iptables para registrar paquetes rechazados, lo cual es útil para el monitoreo y la resolución de problemas:

sudo iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: " --log-level 4

Asegúrate de revisar los logs regularmente en /var/log/syslog o donde tu distribución registre los logs de sistema.

7. Actualizaciones y Parches

Mantén tu sistema actualizado para protegerlo contra vulnerabilidades conocidas. Realiza actualizaciones regularmente:

sudo apt update
sudo apt upgrade

Conclusión

Configurar un router con Debian y Iptables ofrece una solución robusta y altamente configurable para la seguridad de tu red. Siguiendo estos pasos, puedes asegurar que tu router no solo maneje el tráfico de manera eficiente, sino que también proteja tu red contra amenazas potenciales. Siempre es recomendable mantenerse informado sobre las mejores prácticas y actualizar las configuraciones de seguridad conforme evolucionan las amenazas.