T
linux security firewall devops sysadmin

Guía de Configuración de Firewalls Modernos en Linux: De Iptables a Nftables

Domine la configuración de firewalls modernos en Linux. Aprenda a usar generadores de reglas de nftables, generadores de reglas de firewalld y asegure su infraestructura.

2026-04-12

Guía de Configuración de Firewalls Modernos en Linux

In el mundo de la seguridad de Linux, el firewall es su primera línea de defensa. Durante décadas, iptables fue el rey indiscutible del filtrado de paquetes. Sin embargo, el kernel de Linux ha evolucionado y, con él, las herramientas que utilizamos para gestionar el tráfico de red. Hoy en día, nftables ha sustituido a iptables como el backend preferido, y herramientas de nivel superior como firewalld han hecho que las configuraciones complejas sean más accesibles.

Esta guía le llevará a través del panorama moderno de los firewalls de Linux, ayudándole a realizar la transición de los comandos heredados a conjuntos de reglas modernos y de alto rendimiento.

1. La Evolución: De Iptables a Nftables

Aunque iptables todavía se utiliza ampliamente, tiene varias limitaciones estructurales, incluido un diseño monolítico que lo hace lento para actualizar grandes conjuntos de reglas y difícil de ampliar.

Generador de Reglas Nftables

nftables fue diseñado para resolver estos problemas. Utiliza una sintaxis mucho más limpia y un único marco para IPv4 e IPv6. Un generador de reglas nftables es una excelente manera de crear reglas de alto rendimiento sin tener que memorizar la nueva sintaxis.

Ventajas clave de nftables:

  • Rendimiento: Actualizaciones atómicas y un motor de coincidencia más rápido.
  • Reglas Combinadas: No es necesario utilizar comandos iptables e ip6tables por separado.
  • Sets y Maps: Maneje de forma eficiente miles de direcciones IP en una sola regla.

Ejemplo de una regla de nftables para permitir SSH:

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;
        tcp dport 22 accept
    }
}

2. Gestión Dinámica de Firewalls: Firewalld

Para muchas distribuciones (como RHEL, Fedora y CentOS), firewalld es la herramienta de gestión predeterminada. Proporciona un enfoque dinámico y basado en zonas para el firewalling.

Generador de Reglas Firewalld

A diferencia de los firewalls tradicionales que requieren una recarga completa para aplicar los cambios (lo que interrumpe las conexiones existentes), firewalld permite actualizaciones dinámicas. Un generador de reglas firewalld le ayuda a gestionar:

  • Zonas: Asigne interfaces a diferentes niveles de confianza (por ejemplo, public, internal, dmz).
  • Servicios: Habilite servicios predefinidos como http, https o ssh.
  • Reglas Enriquecidas (Rich Rules): Cree reglas más complejas, como limitación de velocidad o registro de tráfico específico.

Comandos comunes de firewalld:

  • firewall-cmd --get-active-zones
  • firewall-cmd --zone=public --add-service=https --permanent
  • firewall-cmd --reload

3. Mejores Prácticas para Firewalls Modernos

Independientemente de la herramienta que elija, ciertos principios de seguridad son universales:

  1. Denegación por Defecto: Empiece siempre con una política que descarte todo el tráfico entrante y solo permita explícitamente lo necesario.
  2. Mínimo Privilegio: Limite el acceso a servicios específicos por dirección IP siempre que sea posible (por ejemplo, solo permita SSH desde la VPN de su oficina).
  3. Inspección de Estado: Asegúrese de que su firewall realice un seguimiento del estado de las conexiones (por ejemplo, permitiendo el tráfico "relacionado" y "establecido").
  4. Registro y Auditoría: Registre los paquetes descartados para ayudar a diagnosticar ataques y configuraciones erróneas.
  5. Preparado para IPv6: Asegúrese de que sus reglas de firewall cubran tanto la pila IPv4 como la IPv6.

4. Resumen: Elección de la Herramienta Adecuada

  • Use Nftables si necesita el máximo rendimiento, está construyendo un router/gateway o prefiere una sintaxis limpia y programable.
  • Use Firewalld si está en un sistema basado en Red Hat y desea una interfaz de gestión fácil de usar basada en zonas que admita actualizaciones dinámicas.
  • Use UFW (Uncomplicated Firewall) si está en Ubuntu o Debian y necesita la forma más sencilla posible de gestionar unos pocos puertos abiertos.

Al utilizar los modernos generadores de reglas de nftables y firewalld, puede alejarse de los scripts heredados y frágiles y crear una postura de seguridad robusta y escalable para su infraestructura de Linux.

Volver al blog