¿Qué es una chain en términos de firewall?

Una **chain** es una lista ordenada de reglas. Cuando un paquete entra al kernel, el firewall recorre la chain correcta de arriba abajo y aplica la primera regla que coincide. Las tres chains integradas en la tabla filter son las que gestiona este generador: **INPUT** (paquetes destinados a esta máquina), **OUTPUT** (paquetes que salen de esta máquina), **FORWARD** (paquetes que pasan por esta máquina, como un router). Si llegas al final sin coincidencia, entra la **política por defecto** de la chain. Las chains también pueden tener **nombres personalizados** para organizar reglas, pero las integradas son donde empieza cada ruleset.

¿Cuál es la diferencia entre INPUT, OUTPUT y FORWARD?

Estas son las tres direcciones de tráfico con las que lidia una máquina Linux. La **chain INPUT** ve paquetes **dirigidos a la máquina local**: alguien conectando a tu SSH, tu servidor web, tu resolver DNS. Esta es la chain que protege tus servicios. La **chain OUTPUT** ve paquetes que tu máquina **envía**: HTTP saliente, lookups DNS, llamadas API. Normalmente se deja totalmente abierta con política ACCEPT porque confías en tu propio software. La **chain FORWARD** ve paquetes que **llegan en una interfaz y salen por otra**, sin estar dirigidos a la máquina local. Solo routers, gateways, máquinas NAT y hosts Docker necesitan reglas FORWARD. En un servidor normal, FORWARD debería tener política DROP y quedarse vacía.

¿Por qué poner ESTABLISHED,RELATED arriba?

Porque la primera regla que coincide con un paquete es la que gana, y **cada paquete de respuesta** de cada conexión que permitiste debería coincidir con esta única regla. Sin ella, necesitarías escribir una regla inversa para cada servicio: "permitir entrante en 80" Y "permitir respuesta saliente desde 80", lo que duplica el ruleset y se rompe si te olvidas. Pon esta regla en la posición **1** de INPUT y FORWARD: `iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT` Coincide con paquetes que pertenecen a una conexión que el kernel ya rastrea (ESTABLISHED) o una relacionada como un canal de datos FTP (RELATED). Resultado: solo necesitas reglas para conexiones **nuevas**, el firewall gestiona las respuestas automáticamente.

¿Qué hace realmente conntrack?

**Conntrack** es el rastreador de conexiones del kernel. Para cada flujo TCP, UDP e ICMP que ve, conntrack registra la IP origen, la IP destino, el puerto origen, el puerto destino y el estado actual (NEW, ESTABLISHED, RELATED, INVALID). El firewall puede entonces hacer match por **estado** en lugar de tener que escribir dos reglas por servicio. Esto es lo que hace a un firewall **stateful**: el kernel sabe "este paquete es la respuesta a una conexión que permití hace cinco segundos" y decide en consecuencia. Los firewalls modernos usan `-m conntrack --ctstate` (iptables) o `ct state` (nftables). La sintaxis vieja `-m state --state` sigue funcionando por compatibilidad, pero conntrack es la canónica.

Stateful vs stateless, ¿cuál es la diferencia práctica?

Un **firewall stateless** mira cada paquete por separado: origen, destino, protocolo, puertos. Para permitir que un sitio web responda a tu petición, necesitas una regla explícita para la respuesta. El ruleset duplica de tamaño y puedes filtrar respuestas que no pretendías permitir. Un **firewall stateful** recuerda las conexiones activas en una tabla. Para permitir respuestas, una regla basta: "cualquier cosa que sea parte de una conexión existente, acepta". Esto es lo que hace `-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT`. El kernel conoce la tabla de conexiones; tú escribes reglas solo para flujos **nuevos**. **Usa siempre matching stateful** salvo que estés escribiendo reglas para un router que gestiona millones de paquetes por segundo y el overhead de conntrack sea medible.

¿Por qué fijar la política por defecto en DROP?

**Denegar por defecto** es la postura segura. Con política ACCEPT, tienes que enumerar todo lo malo que quieres bloquear, que es una lista infinita. Con política DROP, enumeras las pocas cosas que quieres permitir, que es una lista corta (SSH, HTTP, HTTPS, tráfico de retorno). Cualquier cosa que olvidaste queda bloqueada, que es justo lo que quieres en un firewall. **Asegúrate primero una forma de volver a entrar**: escribe la regla ACCEPT para SSH en el puerto 22 (o el que uses), pruébala, luego cambia la política a DROP. Si cambias primero te echarán de tu propio servidor.

¿Cómo persisto las reglas de firewall entre reinicios?

Las reglas añadidas con `iptables` o `nft` viven en memoria y **desaparecen al reiniciar**. Para que sobrevivan: **Debian / Ubuntu (iptables)**: instala `iptables-persistent`, luego `sudo netfilter-persistent save`. Las reglas se escriben en `/etc/iptables/rules.v4` y `rules.v6` y se recargan al boot. **RHEL / CentOS (iptables)**: `sudo service iptables save` escribe en `/etc/sysconfig/iptables`. **Cualquier distro moderna (nftables)**: guarda la salida de `sudo nft list ruleset` en `/etc/nftables.conf` y activa el servicio: `sudo systemctl enable nftables`. Al boot el servicio ejecuta `nft -f /etc/nftables.conf` y el ruleset se restaura. **Flujo recomendado**: mantén `/etc/nftables.conf` (o la salida de iptables-save) en control de versiones. Trata el firewall como cualquier otro fichero de config.

¿Importa el orden de las reglas?

**Sí, el orden importa mucho en iptables**. Las reglas en una chain se evalúan **de arriba abajo** y la **primera coincidencia gana**. Las reglas siguientes no se comprueban. Así que esto funciona: regla 1 = "ACCEPT SSH desde 1.2.3.4", regla 2 = "DROP todo SSH". Y esto está roto: regla 1 = "DROP todo SSH", regla 2 = "ACCEPT SSH desde 1.2.3.4" (gana el DROP, nadie entra). **nftables es igual**: las reglas en una chain corren de arriba abajo. Pon siempre los allows específicos **antes** de los drops amplios. El generador te deja reordenar reglas con las flechas arriba/abajo en cada fila.

¿Cómo pruebo reglas sin bloquearme?

Tres trucos clásicos. **1. Ejecuta un kill switch en otra terminal**: `sudo nohup sh -c 'sleep 300; iptables -F; iptables -P INPUT ACCEPT' &`. Si la fastidias, el firewall se vacía en 5 minutos. Abre una segunda terminal antes de aplicar las nuevas reglas. **2. Programa un flush con `at`**: `echo "iptables -F; iptables -P INPUT ACCEPT" | sudo at now + 10 minutes`. Misma idea, más limpio. **3. Usa `iptables-apply` (Debian) o `nft -c -f rules.conf`**: la herramienta apply te exige confirmar en 10 segundos o hace rollback. `nft -c` hace un dry-run de comprobación de sintaxis. **Ten siempre acceso por consola / IPMI / KVM** a tu servidor antes de tocar reglas de firewall en una máquina remota. SSH es lo **único** que te mantiene conectado; un DROP equivocado y vas andando al datacenter.

Constructor de iptables / nftables - gratis

# iptables-legacy ruleset # Flush existing rules before applying iptables -F iptables -X # Default policies iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Rules iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "allow return traffic" # Save (Debian/Ubuntu): netfilter-persistent save # Save (RHEL/CentOS): service iptables save

# nftables ruleset (save as /etc/nftables.conf) #!/usr/sbin/nft -f flush ruleset table inet filter { chain input { type filter hook input priority 0; policy drop; ct state { established, related } accept comment "allow return traffic" } chain forward { type filter hook forward priority 0; policy drop; } chain output { type filter hook output priority 0; policy accept; } } # Apply: sudo nft -f /etc/nftables.conf # Persist on boot: sudo systemctl enable nftables

¿Qué es este generador de reglas iptables / nftables?

Un firewall Linux mantiene el tráfico no deseado fuera de tu servidor. Las dos herramientas que vienen con el kernel son iptables (la clásica, en uso desde 1998) y nftables (el reemplazo moderno, por defecto en Debian 11+, Ubuntu 22.04+, RHEL 9+ y la mayoría de distros actuales).

Este generador te deja escribir reglas de firewall en una forma amigable y produce ambas sintaxis a la vez. Elige una chain (INPUT, OUTPUT, FORWARD), elige una acción (ACCEPT, DROP, REJECT, LOG), pon el protocolo, origen, destino, puertos y estado de conexión, y obtienes un ruleset listo para pegar.

Todo corre en tu navegador: no se aplican reglas, no se contacta con ningún servidor, no se sube nada. Copias la salida, abres tu terminal, la lees con atención y la ejecutas tú mismo. La herramienta es un generador, no un ejecutor.

Algunas cosas que conviene saber antes de empezar:

La política por defecto de una chain es lo que pasa cuando no coincide ninguna regla. Poner INPUT en DROP más unas pocas reglas ACCEPT dirigidas es la postura clásica "deniega por defecto".
El orden importa en iptables: las reglas se evalúan de arriba abajo, la primera coincidencia gana. Pon tu regla de tráfico de retorno (ESTABLISHED, RELATED) la primera para evitar romper conexiones existentes.
nftables es declarativo (toda la tabla es un documento); iptables es imperativo (cada línea `-A` añade una regla).

Cómo usarlo

Empieza con un preset si puedes: "Servidor web básico", "SSH bloqueado", "Permitir LAN, denegar WAN", "Chain forward de Docker" o "Rate limit SSH". Cada uno rellena valores sensatos por defecto que puedes ajustar.
Pon la política por defecto por chain. La postura segura es INPUT=DROP, FORWARD=DROP, OUTPUT=ACCEPT. La política OUTPUT suele ser ACCEPT porque confías en tu propio servidor para hablar hacia fuera.
Añade reglas en orden. La primerísima regla INPUT debería ser: protocolo=cualquiera, estado=ESTABLISHED+RELATED, acción=ACCEPT. Esto mantiene vivas las conexiones existentes cuando recargas el firewall.
Para cada regla elige la chain, la acción, el protocolo, IP de origen opcional (o CIDR como 192.168.1.0/24), IP de destino opcional, puerto de origen/destino opcional y un estado de conexión si necesitas matching stateful.
Usa el interruptor conntrack para elegir entre el moderno `-m conntrack --ctstate` y el legacy `-m state --state`. Los kernels modernos van por conntrack; mantenlo encendido salvo que tu distro sea antiquísima.
Mira la previsualización en vivo a la derecha. El panel de arriba es iptables, el de abajo es nftables. Ambos se mantienen sincronizados desde el mismo modelo y ambos tienen botón Copiar.
Prueba antes de comprometer. Copia el bloque iptables, pégalo en el servidor, ejecútalo. Si te bloqueas, las reglas no sobrevivirán a un reinicio (viven solo en memoria). Tras 5 minutos de pruebas, persístelas con `netfilter-persistent save` (Debian/Ubuntu) o guarda el bloque nftables en `/etc/nftables.conf`.

Cuándo es útil

Cinco situaciones concretas en las que construir reglas en un formulario gana a escribirlas a mano:

Configuras un VPS recién creado y necesitas un firewall de arranque. El preset "Servidor web básico" abre los puertos 22 (SSH), 80 (HTTP), 443 (HTTPS) y descarta todo lo demás. Es el paso canónico tras instalar un servidor, y el generador lo escribe una sola vez para ambas sintaxis para que escojas la que use tu distro.
Estás migrando de iptables a nftables. Muchas distros (Debian 11+, RHEL 9+) hicieron a nftables el default y el comando `iptables` legacy es un wrapper. Pega tus reglas iptables existentes en el formulario, cambia la previsualización a nftables y tienes un `/etc/nftables.conf` listo para guardar.
Quieres bloquear SSH a una IP. El preset "SSH bloqueado" muestra el patrón: ACCEPT desde tu IP de oficina, LOG y DROP todo lo demás. Tres reglas, en el orden correcto, con matching de estado incluido.
Gestionas un host Docker y la chain FORWARD es un caos. Docker reescribe la chain FORWARD en cada reinicio, lo cual está bien, pero aún así necesitas saber cómo se ven buenas reglas FORWARD. El preset "Chain forward de Docker" es una baseline limpia que puedes adaptar.
Estás enseñando a alguien redes Linux. La vista side-by-side iptables vs nftables es la forma más rápida de mostrar la equivalencia: mismo modelo, dos sintaxis. Cambia un estado, mira ambos paneles actualizarse y la relación entre `-m conntrack --ctstate` y `ct state` cliquea al instante.

Preguntas y respuestas

nftables es el valor por defecto actual y el futuro. Reemplazó a iptables en la pila de redes del kernel Linux y es la herramienta del sistema en Debian 11+, Ubuntu 22.04+, RHEL 9+, Fedora 32+, Arch y openSUSE. iptables está oficialmente en modo de mantenimiento de largo plazo: sigue funcionando (y el comando `iptables` en distros modernas suele ser un wrapper sobre nftables), pero no vienen nuevas características. Aprende nftables para trabajo nuevo. Aprende lo suficiente de iptables para leer documentación antigua y servidores existentes. Este generador muestra ambos para que puedas traducir entre ellos.

¿Qué es este generador de reglas iptables / nftables?

Algunas cosas que conviene saber antes de empezar:

La política por defecto de una chain es lo que pasa cuando no coincide ninguna regla. Poner INPUT en DROP más unas pocas reglas ACCEPT dirigidas es la postura clásica "deniega por defecto".
El orden importa en iptables: las reglas se evalúan de arriba abajo, la primera coincidencia gana. Pon tu regla de tráfico de retorno (ESTABLISHED, RELATED) la primera para evitar romper conexiones existentes.
nftables es declarativo (toda la tabla es un documento); iptables es imperativo (cada línea `-A` añade una regla).

Cómo usarlo

Empieza con un preset si puedes: "Servidor web básico", "SSH bloqueado", "Permitir LAN, denegar WAN", "Chain forward de Docker" o "Rate limit SSH". Cada uno rellena valores sensatos por defecto que puedes ajustar.

Pon la política por defecto por chain. La postura segura es INPUT=DROP, FORWARD=DROP, OUTPUT=ACCEPT. La política OUTPUT suele ser ACCEPT porque confías en tu propio servidor para hablar hacia fuera.

Añade reglas en orden. La primerísima regla INPUT debería ser: protocolo=cualquiera, estado=ESTABLISHED+RELATED, acción=ACCEPT. Esto mantiene vivas las conexiones existentes cuando recargas el firewall.

Para cada regla elige la chain, la acción, el protocolo, IP de origen opcional (o CIDR como 192.168.1.0/24), IP de destino opcional, puerto de origen/destino opcional y un estado de conexión si necesitas matching stateful.

Usa el interruptor conntrack para elegir entre el moderno `-m conntrack --ctstate` y el legacy `-m state --state`. Los kernels modernos van por conntrack; mantenlo encendido salvo que tu distro sea antiquísima.

Mira la previsualización en vivo a la derecha. El panel de arriba es iptables, el de abajo es nftables. Ambos se mantienen sincronizados desde el mismo modelo y ambos tienen botón Copiar.

Prueba antes de comprometer. Copia el bloque iptables, pégalo en el servidor, ejecútalo. Si te bloqueas, las reglas no sobrevivirán a un reinicio (viven solo en memoria). Tras 5 minutos de pruebas, persístelas con `netfilter-persistent save` (Debian/Ubuntu) o guarda el bloque nftables en `/etc/nftables.conf`.

Cuándo es útil

Cinco situaciones concretas en las que construir reglas en un formulario gana a escribirlas a mano:

Configuras un VPS recién creado y necesitas un firewall de arranque. El preset "Servidor web básico" abre los puertos 22 (SSH), 80 (HTTP), 443 (HTTPS) y descarta todo lo demás. Es el paso canónico tras instalar un servidor, y el generador lo escribe una sola vez para ambas sintaxis para que escojas la que use tu distro.
Estás migrando de iptables a nftables. Muchas distros (Debian 11+, RHEL 9+) hicieron a nftables el default y el comando `iptables` legacy es un wrapper. Pega tus reglas iptables existentes en el formulario, cambia la previsualización a nftables y tienes un `/etc/nftables.conf` listo para guardar.
Quieres bloquear SSH a una IP. El preset "SSH bloqueado" muestra el patrón: ACCEPT desde tu IP de oficina, LOG y DROP todo lo demás. Tres reglas, en el orden correcto, con matching de estado incluido.
Gestionas un host Docker y la chain FORWARD es un caos. Docker reescribe la chain FORWARD en cada reinicio, lo cual está bien, pero aún así necesitas saber cómo se ven buenas reglas FORWARD. El preset "Chain forward de Docker" es una baseline limpia que puedes adaptar.
Estás enseñando a alguien redes Linux. La vista side-by-side iptables vs nftables es la forma más rápida de mostrar la equivalencia: mismo modelo, dos sintaxis. Cambia un estado, mira ambos paneles actualizarse y la relación entre `-m conntrack --ctstate` y `ct state` cliquea al instante.

Preguntas y respuestas

Constructor de iptables / nftables

¿Qué es este generador de reglas iptables / nftables?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de SSH config

Comprobación de alcance de puerto

Generador de snippets de Nginx

Generador de unidad systemd

Constructor de iptables / nftables

¿Qué es este generador de reglas iptables / nftables?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de SSH config

Comprobación de alcance de puerto

Generador de snippets de Nginx

Generador de unidad systemd