Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Manual de referencia - Diferencias entre iptables e ipchains

18.2. Diferencias entre iptables e ipchains

A primera vista, ipchains y iptables parecen ser bastante similares. Ambos m�todos de filtrado de paquetes usan cadenas de reglas operando dentro del kernel de Linux para decidir qu� hacer con los paquetes que cumplen determinadas reglas. Sin embargo, iptables proporciona un m�todo mucho m�s extensible de filtrado de paquetes, proporcionando al administrador un nivel de control mucho m�s refinado sin tener que aumentar la complejidad del sistema entero.

M�s concretamente, los usuarios que se encuentren c�modos con ipchains deber�an tener cuidado con las siguientes diferencias significativas entre ipchains e iptables antes de utilizar iptables:

  • Bajo iptables, cada paquete filtrado se procesa �nicamente usando las reglas de una cadena solamente, en lugar de hacerse con m�ltiples. Por ejemplo, un paquete FORWARD que llega al sistema usando ipchains tendr� que pasar por las cadenas INPUT, FORWARD, y OUTPUT para llegar a su destino. Sin embargo, iptables s�lo env�a paquetes a la cadena INPUT si su destino es el sistema local y tan s�lo los env�a a la cadena OUTPUT si el sistema local es quien genera los paquetes. Por esta raz�n, es importante que coloque la regla designada para capturar un paquete particular dentro de la regla que en verdad maneja el paquete.

  • El objetivo DENY ha sido cambiado a DROP. En ipchains, los paquetes que coincidan una regla en una cadena podr�an ser dirigidos al objetivo DENY. Este objetivo debe ser cambiado a DROP bajo iptables.

  • El orden es importante cuando se esten colocando opciones en una regla. Anteriormente, con ipchains, el orden de las opciones de una regla no importaba. El comando iptables usa una sintaxis m�s estricta. En comandos iptables, el protocol (ICMP, TCP o UDP) debe ser especificado antes del puerto fuente o destino.

  • Cuando especificamos las interfaces de red que vamos a usar en una regla, deberemos utilizar s�lo interfaces de entrada (opci�n -i) con cadenas INPUT o FORWARD y las de salida (opci�n -o) con cadenas FORWARD o OUTPUT. Esto es necesario debido al hecho de que las cadenas OUTPUT no se utilizan m�s con las interfaces de entrada, y las cadenas INPUT no son vistas por los paquetes que se mueven hacia las interfaces de salida.

Esta no es una lista completa de los cambios, dado que iptables es fundamentalmente un filtro de red re-escrito. Para informaci�n m�s especifica, consulte Linux Packet Filtering HOWTO mencionado en la Secci�n 18.7.

 
 
  Published under the terms of the GNU General Public License Design by Interspire