Linux 
Cuando trabajamos de forma remota debemos tener especial cuidado con cualquier tipo de configuración que realicemos sobre la máquina en cuestión, ya que, en el caso de cometer algún fallo en la misma, puede imposibilitarnos el acceso futuro.
Esto ocurre especialmente a la hora de configurar el cortafuegos o firewall sobre una máquina remota, en nuestro caso, iptables en una máquina con CentOS 6.8. Si, por cualquier motivo, añadimos alguna regla restrictiva no correcta para nuestras pretensiones, podemos quedarnos sin acceso a la máquina y tendremos que contactar con el soporte técnico en cuestión para que nos solucione este problema, ya que no tenemos acceso físico a la máquina, o en último caso, solicitar, a través del panel de control que tengamos para ello, una restauración desde una copia de seguridad, o como medida final, una reinstalación del sistema operativo.
Para evitar esta situación, podemos configurar un salvoconducto que, en caso de una mala configuración que evite nuestro acceso, vuelva a restaurar la configuración correcta anterior, posibilitando así que accedamos de nuevo.
Cómo trabajar en remoto y de forma segura con el firewall iptables en CentOS
Lo primero que vamos a hacer, antes de realizar cualquier cambio sobre el cortafuegos o firewall, es proceder al volcado o copia de todas las reglas, en un estado seguro, en un archivo. Para ello, ejecuta el siguiente comando:
1 | $ sudo iptables-save > /home/admin/firewall-configuracion-segura |
En este caso hemos usado el directorio de destino /home/admin/ ya que estamos realizando dicho proceso con un usuario con nombre admin. Por lo que, en tu caso, puedes usar el directorio que prefieras.
Una vez ejecutado este comando, revisa que en el archivo generado se encuentren las reglas actuales de configuración del firewall iptables, ya que, si no tienes permisos, puedes obtener un archivo vacío. Puedes usar el comando vi para revisar el archivo de la siguiente forma:
1 | $ vi /home/admin/firewall-configuracion-segura |
Una vez que revises que las reglas del cortafuegos se encuentran en este archivo, puedes salir de este editor mediante la secuencia :q y pulsando Intro.
Ahora que ya tenemos una copia de las reglas de nuestro firewall o cortafuegos en un estado seguro y que nos permite acceder de forma remota, vamos a crear un proceso, o job, en cron que se ejecute cada cierto tiempo, y cuyo cometido sea restaurar las reglas del cortafuegos iptables al estado que tenía anteriormente, es decir, restaurará las reglas del firewall con las que se encuentran en el archivo que anteriormente hemos creado.
Para ello, ejecuta el siguiente comando:
1 | $ sudo vi /etc/cron.d/restaurar-configuracion-firewall |
Lo que creará un archivo dentro de la carpeta cron.d, es decir, crearemos una nueva tarea, que se ejecutará cada cierto tiempo, en nuestro caso, 15 minutos, y que realizará la restauración de las reglas de iptables a las alojadas en el archivo. Escribimos en el archivo lo siguiente:
1 2 | # Con esto restauramos el firewall iptables a una configuración segura cada 15 minutos. */15 * * * * root /sbin/iptables-restore < /home/admin/firewall-configuracion-segura |
De esta forma, si cometes algún error a la hora de configurar o añadir una regla en iptables que te impida acceder a la máquina remota, puedes estar tranquilo ya que en, como máximo 15 minutos, la configuración anterior volverá a restaurarse, pudiendo acceder de nuevo.
Conforme vayas probando y verificando que las nuevas reglas añadidas son correctas, vuelve a sustituir el archivo de volcado o copia de las reglas con la nueva configuración y, por supuesto, una vez que acabes de realizar la configuración necesaria y veas que está todo bien, no olvides eliminar el archivo creado en la carpeta /etc/cron.d/ para eliminar la tarea.
