Esta guía ofrece directrices para los administradores de red que requieren implementar políticas específicas de acceso que no están contempladas en la configuración estándar del firewall de un gateway Robustel. Si precisa crear reglas avanzadas y personalizadas en el firewall—como permitir o bloquear el tráfico proveniente de direcciones IP o puertos determinados mediante la sintaxis iptables—esto puede realizarse a través de la Interfaz de Línea de Comandos (CLI) de RobustOS. Este método proporciona un control minucioso del tráfico de red para potenciar la seguridad.
Lo que necesitarás
Para garantizar un proceso de configuración ágil, tenga a mano lo siguiente antes de comenzar:
Lista de Hardware:
-
1 x Gateway Robustel (por ejemplo, R1520, entre otros) con RobustOS instalado
1 x Cable Ethernet o consola para acceso CLI
1 x PC para acceder a la interfaz CLI del gateway
Software/Firmware:
-
Firmware RobustOS que admite comandos CLI.
Una aplicación de emulación de terminal (por ejemplo, PuTTY, Tera Term) para conexiones SSH o serie.
Otras consideraciones:
-
Se recomienda poseer un conocimiento sólido de la sintaxis de iptables, ya que reglas mal configuradas pueden comprometer la conectividad de la red.
Asegúrese de contar con credenciales de administrador para acceder a la interfaz de línea de comandos del gateway.
No reinicie el dispositivo antes de haber guardado la configuración, ya que de lo contrario perderá los cambios realizados.
Guía detallada para la configuración paso a paso
Este proceso se divide en dos etapas principales: la creación de una entrada de regla y la definición de su contenido.
Paso 1: Insertar una Nueva Entrada en las Reglas del Cortafuegos
Primero, debe crear un marcador para su nueva regla personalizada en la lista personalizada del firewall. Cada norma requiere un número de índice único.
-
Acceda al CLI de su gateway mediante SSH o una conexión serial.
Ejecute el siguiente comando para crear una nueva entrada de regla. En este ejemplo, utilizamos el índice 1. Si el índice 1 ya está ocupado, seleccione otro número (por ejemplo, 2, 3).
add firewall custom_list 1Deberías observar un mensaje de confirmación, similar a este:
OKPaso 2: Configurar el contenido y la descripción de la regla
Una vez creada la entrada, es necesario definir la regla de iptables que se ejecutará.
-
Utilice el comando set firewall custom_list para definir la regla. La regla debe ir entre comillas dobles («) y respetar la sintaxis estándar de iptables. En este ejemplo, crearemos una regla que acepte todo el tráfico entrante desde la dirección IP 192.168.1.100. El argumento -I INPUT inserta la regla al inicio de la cadena INPUT.
set firewall custom_list 1 rule "-I INPUT -s 192.168.1.100 -j ACCEPT"-
(Opcional pero recomendable) Añada una descripción a la regla para identificar con facilidad su propósito posteriormente.
set firewall custom_list 1 desc "Allow My PC"Paso 3: Guardar y aplicar la configuración
Tus cambios están preparados, pero no tendrán efecto hasta que sean guardados y aplicados a la configuración activa del sistema. Este es un paso final crucial.
-
Ejecute el siguiente comando:
config save_and_apply-
El sistema procesará los cambios y aplicará la nueva regla de firewall. Este procedimiento podría demorar algunos instantes.
Verificación
Tras aplicar la configuración, es imprescindible confirmar que la regla esté activa y opere conforme a lo previsto.
-
Verifique la configuración: utilice el comando show firewall custom_list para mostrar todas las reglas personalizadas configuradas.
show firewall custom_listLa salida debe mostrar la regla que acaba de crear, tal como se aprecia en la captura de pantalla a continuación. Busque el índice, la descripción y el contenido de su regla.
(Captura de pantalla mostrando la salida del comando show firewall custom_list con la regla recién creada resaltada en un recuadro rojo).
+---------+----------------------------------------------------+---------------+
| list_id | rule | desc |
+---------+----------------------------------------------------+---------------+
| 1 | -I INPUT -s 192.168.1.100 -j ACCEPT | Allow My PC |
+---------+----------------------------------------------------+---------------+-
Prueba funcional: Para verificar la regla, intente acceder al gateway (por ejemplo, mediante SSH o su interfaz web) desde la dirección IP autorizada (192.168.1.100). La conexión deberá establecerse con éxito. Luego, intente acceder desde una dirección IP distinta que no esté contemplada en ninguna otra regla de autorización; en este caso, la conexión deberá ser bloqueada.
Troubleshooting / FAQ
Q1: He añadido la regla, pero parece que no funciona.
A1:
-
¿Guardaste y aplicaste los cambios? Asegúrate de ejecutar el comando config save_and_apply tras configurar la regla. De lo contrario, las modificaciones no se activarán.
-
¿La sintaxis es correcta? Verifica minuciosamente la sintaxis de tu regla iptables. Debe estar absolutamente impecable. Puedes consultar la documentación oficial de iptables en línea para mayor orientación.
-
Orden de las reglas: las reglas de iptables se procesan secuencialmente. Si una regla DROP más general precede a tu regla ACCEPT específica dentro de la cadena, esta última podría no aplicarse nunca. Emplear -I (insertar) en lugar de -A (añadir) sitúa tu regla al inicio de la cadena, estrategia recomendable para pruebas.
Q2: ¿Cómo puedo eliminar una regla personalizada?
A2: Utilice el comando del firewall custom_list <list_id>, sustituyendo <list_id> por el número de índice de la regla que desea eliminar. Por ejemplo, para borrar la regla que creamos:
del firewall custom_list 1
Recuerde ejecutar config save_and_apply posteriormente para que la eliminación tenga efecto.
Q3: ¿Cómo puedo visualizar todas las reglas personalizadas que he creado?
A3: Utilice el comando show firewall custom_list. Este mostrará una tabla con todas las reglas personalizadas configuradas actualmente, incluyendo sus números de índice, contenido y descripciones.
Q4: ¿Es posible editar una regla existente?
A4: Sí. Simplemente emplee nuevamente el comando set firewall custom_list <list_id> rule «…» con el mismo número de índice y una nueva cadena de regla. Esto sobrescribirá el contenido previo. No olvide ejecutar config save_and_apply.
