La práctica mostrada se realiza en un equipo con Windows 10 en el que se instala VMware Workstation 12 para simular una red virtual y en el que se crearán dos máquinas virtuales, una desempeñará el papel de router NAT con sistema operativo IPCop 2.1.8 y otra con Debian 8 para comprobar el funcionamiento del router NAT. La práctica se ha probado bajo los sistemas operativos anfitrion Windows 10 y Debian 8 y también, en ambos sistemas operativos, sobre VirtualBox, obteniendo los mismos resultados.
Objetivo del artículo(Volver al índice General) IPCop es una distribución cortafuegos basada en Linux. Está dirigido a usuarios del hogar y SOHO (Smal Office / Home Office), con una interfaz web fácil de usar. SOHO (Small Office-Home Office): es la arquitectura más simple de seguridad perimetral. No se ofrecen servicios externos. El propio router de acceso puede realizar funciones de cortafuegos.
En esta práctica, utilizaremos VMware Workstation 12 para simular una red local virtual. La instalación y configuración de VMware Workstation 12 queda fuera de este artículo.
Configuraremos IPCop como encaminador NAT para permitir la comunicación entre los equipos de la red local virtual y el exterior.
Primeramente instalaremos IPCop, tras instalarlo y configurarlo, instalaremos una máquina virtual con Debian 8 perteneciente a la red local virtual y una vez creadas las máquinas virtuales haremos pruebas de conectividad desde la máquina virtual con Debian 8 hacia el exterior de la red local virtual, pasando por el encaminador NAT con IPCop.
Datos para la configuración de las máquinas virtuales(Volver al índice General) IPCop utilizará dos tarjeta de red, una para conectarse a la red interna (GREEN) y otra para conectarse a la red externa (RED):
Configuración de la interfaz de red para la red interna (GREEN): en este ejemplo configuraremos la interfaz con los siguientes datos:
IP estática: 10.33.1.1
Máscara: 255.255.255.0
Configuración de la interfaz de red para la red externa (RED): en este ejemplo le asignaremos una IP dinámica que adquirirá del servidor DHCP de la red externa (nuestro router, o cualquier servidor DHCP válido que asigne una IP con salida a Internet)
Procesador: con un core vamos sobrados.
Memoria RAM: 256MB.
Capacidad del disco duro: 8GB.
Debian 8 utilizará solo una tarjeta de red para conectarse a la red interna (GREEN). Además no necesitará muchos recursos para las pruebas de conectividad:
Configuración de la interfaz de red para la red interna (GREEN): en este ejemplo configuraremos la interfaz con los siguientes datos:
IP estática: 10.33.1.2
Máscara: 255.255.255.0
Puerta de enlace (Gateway): 10.33.1.1
Servidores DNS: 8.8.8.8 y 8.8.4.4
Procesador: Con un core va bien para la utilidad que le vamos a dar en esta práctica.
Instalación del encaminador NAT con IPCop(Volver al índice General)
Primero configuraremos los parámetros de la máquina virtual y luego pasaremos a la instalación y configuración de IPCop.
Crear y configurar la máquina virtual(Volver al índice General)
En primer lugar descargamos la imágen ISO de IPCop. Una vez descargada la imágen ISO, ejecutamos VMware Workstation. Desde la opción File del menú, seleccionamos New Virtual Machine… y nos aparece el asistente para crear una nueva máquina virtual. A continuación se ilustran todos los pasos a seguir (clicar en la imágen para aumentar):
Figura 1: Asistente para la creación de una nueva máquina virtual. Seleccionar la opción "Custom"
Figura 2: Seleccionar la compatibilidad del hardware. En este caso, eleccionaremos la última versión de Workstation
Figura 3: Seleccionar como queremos instalar el Sistema Operativo, en este caso seleccionamos la "imagen iso de IPCop" previamente descargada
Figura 4: Seleccionar el Sistema Operativo. En nuestro caso será un "Linux" versión "Other Linux 3.X kernel"
Figura 5: Dar un nombre a la máquina virtual y seleccionar su ubicación en el disco.
Figura 6: Configuración del procesador. Nos bastará con seleccionar un procesador y un core por procesador
Figura 7: Configurar la memoria de la máquina virtual. Nos bastarán 256MB de RAM
Figura 8: Seleccionar el tipo de red. En este ejemplo utilizaremos el modo Bridge (Puente)
Figura 9: Seleccionar el tipo de controladora SCSI. Seleccionaremos la opción recomendada
Figura 10: Selección del tipo de disco. A pesar de que VMware recomienda SCSI, nosotros seleccionaremos SATA y evitaremos el tener que instalar módulos adicionales para SCSI
Figura 11: Seleccionar el disco virtual donde instalaremos la máquina virtual. Elegiremos la opción de crear un nuevo disco virtual.
Figura 12: Seleccionar la capacidad del disco. Con 8GB bamos sobrados y seleccionaremos la opción de dividir en múltiples archivos.
Figura 13: Seleccionar la ubicación y nombre del disco.
Figura 14: En este punto podemos la instalación, pero aún quedan algunas cosas por hacer. Para ello pulsaremos el botón "Customize Hardware..."
Figura 15: En esta pantalla pulsaremos sobre el botón "Add..." para añadir nuevo hardware.
Figura 16: Seleccionaremos "Network Adapter" para añadir una nueva tarjeta de red.
Figura 17: Seleccionar el tipo de red. En este ejemplo utilizaremos de nuevo el modo Bridge (Puente).
Figura 18: En la configuración de la tarjeta seleccionaremos la opción "LAN Segment" y a continuación pulsaremos el botón "LAN Segments..."
Figura 19: En este punto, pulsaremos el botón "Add" y añadiremos un segmento de red que llamaremos, por ejemplo, "RedInterna"
Figura 20: Así deberá quedar una vez configurada la segunda interfaz de red.
Figura 21: Eliminamos la entrada correspondiente a la impresora "Printer" seleccionándola y pulsando el botón "Remove"
Figura 20: En este punto, al pulsar en el botón «Advanced…», nos mostrará la MAC Address para la tarjeta. Dicha MAC nos servirá para identificar, durante la configuración de IPCop, cual de las tarjetas seleccionadas corresponde a la red interna (interfaz GREEN)
Figura 22: Así deberá quedar la configuración de la terjeta de sonido si queremos audio
Figura 23: La configuración de la pantalla la dejaremos con las opciones por defecto
Figura 24: En este punto nos muestra de nuevo el resumen de la configuración y la opción de iniciar la instalación. Ahora si que pulsaremos el botón "Finish"
Figura 25: Ya hemos finalizado. Para iniciar la instalación deberemos pulsar sobre "Power on this virtual machine"
Instalación de IPCop(Volver al índice General)
Una vez creada la máquina virtual para IPCop, procederemos a la instalación del mismo. Como indicamos en la Figura 25 del apartado anterior, para iniciar la instalación deberemos pulsar sobre Power on this virtual machine, pues bien, vamos a ello.
A continuación se ilustran todos los pasos a seguir (clicar en la imágen para aumentar):
Figura 1: Pantalla de incio de la instalación de IPCop. Para comenzar pulsaremos la tecla "Intro".
Figura 2: Selección del Idioma.
Figura 3: Pantalla de bienvenida a la instalación de IPCop.
Figura 4: Selección del tipo de teclado.
Figura 5: Selección de la zona horaria.
Figura 6: Ajustar la hora y fecha del sistema.
Figura 7: Seleccionar el disco donde instalaremos IPCop.
Figura 8: Aviso de perdida de información del disco seleccionado. Seleccionamos "Aceptar".
Figura 9: Opción de instalar en "Disco duro" o en "Memoria flash". Seleccionamos "Disco duro".
Figura 10: Progreso de la instalación.
Figura 11: Utilizar un respaldo de la configuración del sistema IPCop. En este punto seleccionaremos "Saltar"
Figura 12: Finalización de la instalación. Pulsaremos "¡Felicidades!" para continuar con la configuración de IPCop
Figura 13: Introduciremos el nombre de "host de la máquina". En este ejemplo hemos optado por darle el nombre IPCop
Figura 14: Introduciremos el nombre del dominio. En este ejemplo hemos optado por dejarlo por defecto, aunque podríamos introducir el nombre de dominio que deseemos, p.e: zeppelinux.es
Figura 15: Modo de configuración de la interfaz "ROJA". Interfaz que se comunicará con la red externa. En nuestro ejemplo optamos por una configuración dinámica mediante "DHCP"
Figura 16: Seleccionar una tarjeta de red para una de las interfaces.
Figura 17: En este caso configuraremos la interfaz GREEN que se conectará a la red interna
Figura 18: Seleccionar la tarjeta de red restante
Figura 17: Observad la «MAC Address» para esta tarjeta de red. Será importante que comprobéis que dicha MAC se corresponde con la MAC de la tarjeta asignada en VMware al «LAN segment» que en este ejemplo la hemos llamado «RedInterna». Se puede comprobar en caliente (con la máquina en ejecución), accediendo a la configuración de la tarjeta de red de la máquina virtual y una vez localizada la tarjeta que se conecta al «LAN segment», pulsar en el botón «Advanced…» para que os muestre su MAC y comparar ambos valores.
Figura 19: En este caso configuraremos la interfaz REED que se conectará a la red externa
Figura 20: Una vez seleccionadas las tarjetas GREEN y RED, seleccionamos la opción "Hecho" y continuamos
Figura 21: Asignar IP y máscara de red a la interfaz GREEN
Figura 19: Al igual que en el caso de la configuración de la interfaz GREEN, podréis comprobar también que la «MAC Address» se corresponde con la MAC de la tarjeta asignada en VMware a la red externa. Deberá corresponderse con aquella tarjeta de red que tiene habilitado el modo «Bridged (Puente)». No utiliza LAN segment
Figura 22: Introduciremos el nombre del host para "DHCP" en la interfaz de red "ROJA". En este ejemplo optamos por poner el mismo nombre empleado en la Figura 13
Figura 23: Configuración de DNS y Puerta de enlace de la interfaz de red "ROJA". En nuestro ejemplo, dejaremos que DHCP se encargue de esto y por lo tanto lo dejaremos en blanco
Figura 24: Configurar IPCop como Servidor DHCP. En nuestro caso, no lo activaremos
Figura 24: En caso de que nos interesase que IPCop desempeñase el papel de Servidor DHCP, aquí activaríamos el servicio y asignaríamos las IP de inicio y fin del rango de asignación de IPs. En nuestro caso, no activaremos DHCP ya que en un principio hemos optado por IP estática para los equipos de la red interna (GREEN)
Figura 25: Asignaremos la contraseña para el usuario "root"
Figura 26: Asignaremos la contraseña para el usuario "admin"
Figura 27: Asignaremos la contraseña para el usuario "backup"
Figura 28: Pantalla de login de IPCop
Tras introducir la clave para el usuario backup, habremos finalizado la instalación y comenzará el inicio del Sistema Operativo IPCop. La Figura 28 se corresponde con la pantalla de login de IPCop una vez instalado.
La IP 10.33.1.1 será la Puerta de enlace (Gateway) de la red interna 10.33.1.0/24.
Para acceder a la interfaz web de IPCop tendremos que hacerlo desde la red interna y apuntar, en nuestro caso, a la URL: https://10.33.1.1:8443
En caso de no poder acceder a la interfaz web de IPCop siguiendo todos los pasos anteriores, deberíamos comprobar si el servicio está ejecutándose. Para lo cual accederemos a la consola de IPCop como usuario root y ejecutamos el siguiente comando:
# netstat-ltun
# netstat -ltun
Como resultado obtenemos la siguiente información: Resultado de netstat -ltun en IPCop
Observamos que el puerto 8443 está a la escucha. Si no es así, es que algo falla o el servicio esté utilizando otro puerto. Os recuerdo que en versiones anteriores, IPCop escuchaba por el puerto 445.
Averiguamos el nombre de la interfaz de red de nuestro sistema con el comando ifconfig -a.
$ sudoifconfig-a
$ sudo ifconfig -a
El resultado nos mostrará la interfaz lo de bucle interno (Loopback) y otro interfaz con el formato ethx (eth0, eth1,…) para la red cableada. Resultado de ifconfig -a
Editamos el fichero /etc/network/interfaces mediante el comando siguiente:
Editamos el fichero /etc/resolv.conf para añadir el servidor o servidores DNS. En este ejemplo añadiremos dos de los servidores DNS de Google.
$ sudonano/etc/resolv.conf
$ sudo nano /etc/resolv.conf
Edición del archivo /etc/resolv.conf.
Para finalizar, para que surtan efecto todos los cambios realizados, reiniciamos el servicio de red con alguno de los siguientes comandos:
$ sudo/etc/init.d/networking restart
$ sudo /etc/init.d/networking restart
o bien con el siguiente comando:
$ sudo service networking restart
$ sudo service networking restart
o si utilizamos systemd, reiniciamos los servicios de red con el siguiente comando:
$ sudo systemctl restart NetworkManager.service
$ sudo systemctl restart NetworkManager.service
Hecho esto, ya tenemos configurado nuestro Debian para que utilice IPCop como puerta de enlace y podremos comenzar con la batería de pruebas para comprobar su funcionamiento.
Batería de pruebas(Volver al índice General)
Para realizar la batería de pruebas hemos de tener en cuenta que la interfaz de red del encaminador NAT IPCop conectada a la red externa (RED), obtiene la IP de forma dinámica. En esta práctica nuestro servidor DHCP le ha asignado la IP 192.168.1.23.
Ping a IPCop desde máquina de la red local virtual(Volver al índice General)
La primera de las pruebas que vamos a realizar consistirá en hacer PING desde nuestro equipo de pruebas Debian a la puerta de enlace (IP de la máquina con máquina IPCop).
$ ping 10.33.1.1
$ ping 10.33.1.1
Figura A: Resultado de hacer ping a la puerta de enlace (Gateway). Haz clic para aumentar.
El resultado del PING nos indica que desde la máquina de pruebas llegamos a la puerta de enlace. En teoría, todas las máquinas de la red interna pertenecientes a la red 10.33.1.0/24 deben de llegar a la puerta de enlace.
Ping al exterior desde máquina de la red local virtual(Volver al índice General)
La segunda prueba que realizaremos será hacer PING desde una máquina de la red interna (nuestro equipo de pruebas Debian) al exterior. Le haremos PING a Google y accederemos a la página de Google.
$ ping www.google.es
$ ping www.google.es
Figura B1: Resultado de hacer ping a una dirección fuera de nuestra red interna. Haz clic para aumentar.
Figura B2: Acceso a Google desde la red interna. Haz clic para aumentar.
Figura B1: El resultado del PING nos indica que desde la máquina de pruebas llegamos a direcciones que están fuera de nuestra red interna. En teoría, todas las máquinas de la red interna pertenecientes a la red 10.33.1.0/24 deben llegar a direcciones externas.
Acceso a la interfaz web de IPCop desde máquina de la red local virtual(Volver al índice General)
Desde nuestra máquina de pruebas, accederemos a la interfaz web de IPCop. En nuestro caso la URL de acceso es https://10.33.1.1:8443, el usuario será Admin y la password la que le asignamos durante la instalación de IPCop.
Figura C: Primero deberemos autenticarnos para acceder. Haz clic para aumentar.
Figura D: Interfaz web de administración de IPCop una vez autenticados. Haz clic para aumentar.
Accesos denegados(Volver al índice General)
El acceso a la interfaz de administración de IPCop solo podrá realizarse desde una máquina conectada a la red interna (GREEN). Los intentos de acceso desde el exterior están denegados.
Figura E: Prueba realizada desde la máquina "Anfitrión". No se accede a la interfaz web de IPCop desde la red externa. Haz clic para aumentar.
IPCop tampoco responderá a PING provenientes de la red externa, ya sea a su interfaz conectada a la red externa (RED) o a la interfaz conectada a la red interna (GREEN). Tampoco las máquinas conectadas a la red interna responderán a los PING que provengan de la red externa.
Figura F: Prueba realizada desde la máquina "Anfitrión". IPCop no responde a "PING" a su interfáz "RED". Haz clic para aumentar.
Figura G: Prueba realizada desde la máquina "Anfitrión". Las máquinas conectadas a la red interna "GREEN" no responden a "PING". Haz clic para aumentar.
Los accesos por ssh y telnet desde la red interna y externa, también están bloqueados.
La Figura H y la Figura I se corresponden con pruebas realizadas desde la máquina anfitrión desde la red externa (RED)
Figura H: Prueba realizada desde la máquina "Anfitrión". Denegado el acceso por "SSH". Haz clic para aumentar.
Figura I: Prueba realizada desde la máquina "Anfitrión". Denegado el acceso por "Telnet". Haz clic para aumentar.
La Figura J y la Figura K se corresponden con pruebasruebas realizadas desde máquinas conectadas a la red interna (GREEN)
Figura J: Prueba realizada desde una máquina de la red interna. Denegado el acceso por "SSH". Haz clic para aumentar.
Figura K: Prueba realizada desde una máquina de la red interna. Denegado el acceso por "Telnet". Haz clic para aumentar.
Con esta batería de pruebas terminamos el artículo comprobando que nuestro equipo con IPCop realiza la función de encaminador NAT. Ahora, ya conocemos la arquitectura y solo nos queda implementarla físicamente.
No olvidemos que IPCop puede desempeñar muchos más roles además de encaminador NAT. Si buscamos en la documentación de IPCop, ¿Qué es IPCop? encontraremos la siguiente respuesta «IPCop es un cortafuegos; de principio a fin y siempre».
Espero que este artículo os haya sido de utilidad. Si pensáis que podéis colaborar para mejorar este artículo, que hay algo erróneo en él o simplemente deseáis comentarlo, por favor, dejad vuestra opinión más abajo.
Los Administradores pueden añadir sus propias reglas al cortafuegos bien desde la interfaz web o también, desde el archivo /etc/rc.d/rc.firewall.local.
Espero que sea esto lo que preguntas y gracias por visitar ZeppelinuX
Hay alguna posibilidad de que alguien me ayude con la instalación y configuración. Hago todo bien. Todo queda en verde ‘done’ al ejecutar ipcop. Pero no logró acceder a interfaz web desde otro pc ni menos acceder a Internet.
Les dejo mi whatsapp si es que alguien quisiera comunicarse conmigo. Se lo agradecería mucho y ofrezco 150 dólares si llega a conectar.
+56983361691
Entrar en la BIOS de máquina virtual VMware (0)
Cómo instalar Debian 10 buster (2)
Conceptos básicos sobre Máquinas Virtuales (2)
Asegurando el servicio SSH en Linux (0)
Nano
Muy explicito su tutorial. Le felicito. Me ha ayudado a entender mucho mejor el funcionamiento de IPCOP. Gracias.
J. Carlos
Me alegro que así sea y gracias a usted por la visita.
Ulises
Buenas, Primero, muchas gracias por el tutorial
¿sabría decirme e qué fichero guarda ipcop las reglas del iptables en modo texto?
J. Carlos
Hola Ulises,
Los Administradores pueden añadir sus propias reglas al cortafuegos bien desde la interfaz web o también, desde el archivo
/etc/rc.d/rc.firewall.local.Espero que sea esto lo que preguntas y gracias por visitar ZeppelinuX
Cristian
Hay alguna posibilidad de que alguien me ayude con la instalación y configuración. Hago todo bien. Todo queda en verde ‘done’ al ejecutar ipcop. Pero no logró acceder a interfaz web desde otro pc ni menos acceder a Internet.
Les dejo mi whatsapp si es que alguien quisiera comunicarse conmigo. Se lo agradecería mucho y ofrezco 150 dólares si llega a conectar.
+56983361691