La práctica mostrada se realiza en un equipo con Windows 10 en el que se instala VMware Workstation 12 para simular una red virtual y en el que se crearán dos máquinas virtuales, una desempeñará el papel de router NAT con sistema operativo IPCop 2.1.8 y otra con Debian 8 para comprobar el funcionamiento del router NAT. La práctica se ha probado bajo los sistemas operativos anfitrion Windows 10 y Debian 8 y también, en ambos sistemas operativos, sobre VirtualBox, obteniendo los mismos resultados.
- Objetivo del artículo
- Instalación del encaminador NAT con IPCop
- Instalación del equipo de pruebas con Debian 8
- Batería de pruebas
- Lista parcial de prestaciones de IPCop
- Objetivo del artículo (Volver al índice General)
IPCop es una distribución cortafuegos basada en Linux. Está dirigido a usuarios del hogar y SOHO (Smal Office / Home Office), con una interfaz web fácil de usar.
SOHO (Small Office-Home Office): es la arquitectura más simple de seguridad perimetral. No se ofrecen servicios externos. El propio router de acceso puede realizar funciones de cortafuegos.
En esta práctica, utilizaremos VMware Workstation 12 para simular una red local virtual. La instalación y configuración de VMware Workstation 12 queda fuera de este artículo.
Configuraremos IPCop como encaminador NAT para permitir la comunicación entre los equipos de la red local virtual y el exterior.
Primeramente instalaremos IPCop, tras instalarlo y configurarlo, instalaremos una máquina virtual con Debian 8 perteneciente a la red local virtual y una vez creadas las máquinas virtuales haremos pruebas de conectividad desde la máquina virtual con Debian 8 hacia el exterior de la red local virtual, pasando por el encaminador NAT con IPCop.- Datos para la configuración de las máquinas virtuales (Volver al índice General)
IPCop utilizará dos tarjeta de red, una para conectarse a la red interna (GREEN) y otra para conectarse a la red externa (RED):- Configuración de la interfaz de red para la red interna (GREEN): en este ejemplo configuraremos la interfaz con los siguientes datos:
- IP estática: 10.33.1.1
- Máscara: 255.255.255.0
- Configuración de la interfaz de red para la red externa (RED): en este ejemplo le asignaremos una IP dinámica que adquirirá del servidor DHCP de la red externa (nuestro router, o cualquier servidor DHCP válido que asigne una IP con salida a Internet)
- Procesador: con un core vamos sobrados.
- Memoria RAM: 256MB.
- Capacidad del disco duro: 8GB.
Debian 8 utilizará solo una tarjeta de red para conectarse a la red interna (GREEN). Además no necesitará muchos recursos para las pruebas de conectividad:- Configuración de la interfaz de red para la red interna (GREEN): en este ejemplo configuraremos la interfaz con los siguientes datos:
- IP estática: 10.33.1.2
- Máscara: 255.255.255.0
- Puerta de enlace (Gateway): 10.33.1.1
- Servidores DNS: 8.8.8.8 y 8.8.4.4
- Procesador: Con un core va bien para la utilidad que le vamos a dar en esta práctica.
- Memoria RAM: 1024MB.
- Capacidad del disco duro: 20GB.
- Configuración de la interfaz de red para la red interna (GREEN): en este ejemplo configuraremos la interfaz con los siguientes datos:
- Esquema red interna y externa (Volver al índice General)
- Datos para la configuración de las máquinas virtuales (Volver al índice General)
- Instalación del encaminador NAT con IPCop (Volver al índice General)
Primero configuraremos los parámetros de la máquina virtual y luego pasaremos a la instalación y configuración de IPCop.- Crear y configurar la máquina virtual (Volver al índice General)
En primer lugar descargamos la imágen ISO de IPCop. Una vez descargada la imágen ISO, ejecutamos VMware Workstation. Desde la opción File del menú, seleccionamos New Virtual Machine… y nos aparece el asistente para crear una nueva máquina virtual. A continuación se ilustran todos los pasos a seguir (clicar en la imágen para aumentar):Figura 20: En este punto, al pulsar en el botón «Advanced…», nos mostrará la MAC Address para la tarjeta. Dicha MAC nos servirá para identificar, durante la configuración de IPCop, cual de las tarjetas seleccionadas corresponde a la red interna (interfaz GREEN)
- Instalación de IPCop (Volver al índice General)
Una vez creada la máquina virtual para IPCop, procederemos a la instalación del mismo. Como indicamos en la Figura 25 del apartado anterior, para iniciar la instalación deberemos pulsar sobre Power on this virtual machine, pues bien, vamos a ello.
A continuación se ilustran todos los pasos a seguir (clicar en la imágen para aumentar):Figura 17: Observad la «MAC Address» para esta tarjeta de red. Será importante que comprobéis que dicha MAC se corresponde con la MAC de la tarjeta asignada en VMware al «LAN segment» que en este ejemplo la hemos llamado «RedInterna». Se puede comprobar en caliente (con la máquina en ejecución), accediendo a la configuración de la tarjeta de red de la máquina virtual y una vez localizada la tarjeta que se conecta al «LAN segment», pulsar en el botón «Advanced…» para que os muestre su MAC y comparar ambos valores.
Figura 19: Al igual que en el caso de la configuración de la interfaz GREEN, podréis comprobar también que la «MAC Address» se corresponde con la MAC de la tarjeta asignada en VMware a la red externa. Deberá corresponderse con aquella tarjeta de red que tiene habilitado el modo «Bridged (Puente)». No utiliza LAN segment
Figura 24: En caso de que nos interesase que IPCop desempeñase el papel de Servidor DHCP, aquí activaríamos el servicio y asignaríamos las IP de inicio y fin del rango de asignación de IPs. En nuestro caso, no activaremos DHCP ya que en un principio hemos optado por IP estática para los equipos de la red interna (GREEN)
Tras introducir la clave para el usuario backup, habremos finalizado la instalación y comenzará el inicio del Sistema Operativo IPCop. La Figura 28 se corresponde con la pantalla de login de IPCop una vez instalado.
La IP 10.33.1.1 será la Puerta de enlace (Gateway) de la red interna 10.33.1.0/24.
Para acceder a la interfaz web de IPCop tendremos que hacerlo desde la red interna y apuntar, en nuestro caso, a la URL: https://10.33.1.1:8443
En caso de no poder acceder a la interfaz web de IPCop siguiendo todos los pasos anteriores, deberíamos comprobar si el servicio está ejecutándose. Para lo cual accederemos a la consola de IPCop como usuario root y ejecutamos el siguiente comando:# netstat -ltun
Como resultado obtenemos la siguiente información:
Observamos que el puerto 8443 está a la escucha. Si no es así, es que algo falla o el servicio esté utilizando otro puerto. Os recuerdo que en versiones anteriores, IPCop escuchaba por el puerto 445.
- Crear y configurar la máquina virtual (Volver al índice General)
- Instalación del equipo de pruebas con Debian 8 (Volver al índice General)
- Configuración de la máquina virtual (Volver al índice General)
Os redirijo a un artículo anterior en el que se explica la configuración de una máquina virtual para Debian 8. - Instalación de Debian 8 (Volver al índice General)
Os redirijo a un artículo anterior en el que se explica la instalación de Debian 8 en una máquina virtual. - Configuración de Debian 8 (Volver al índice General)
- Iniciamos sesión en Debian
- Abrimos una terminal, por ejemplo Konsole
- Averiguamos el nombre de la interfaz de red de nuestro sistema con el comando ifconfig -a.
$ sudo ifconfig -a
El resultado nos mostrará la interfaz lo de bucle interno (Loopback) y otro interfaz con el formato ethx (eth0, eth1,…) para la red cableada.
- Editamos el fichero /etc/network/interfaces mediante el comando siguiente:
$ sudo nano /etc/network/interfaces
Modificamos el fichero tal como aparece en la siguiente imagen, según la configuración que establecimos previamente:
- Editamos el fichero /etc/resolv.conf para añadir el servidor o servidores DNS. En este ejemplo añadiremos dos de los servidores DNS de Google.
$ sudo nano /etc/resolv.conf
- Para finalizar, para que surtan efecto todos los cambios realizados, reiniciamos el servicio de red con alguno de los siguientes comandos:
$ sudo /etc/init.d/networking restart
o bien con el siguiente comando:
$ sudo service networking restart
o si utilizamos systemd, reiniciamos los servicios de red con el siguiente comando:
$ sudo systemctl restart NetworkManager.service
Hecho esto, ya tenemos configurado nuestro Debian para que utilice IPCop como puerta de enlace y podremos comenzar con la batería de pruebas para comprobar su funcionamiento.
- Configuración de la máquina virtual (Volver al índice General)
- Batería de pruebas (Volver al índice General)
Para realizar la batería de pruebas hemos de tener en cuenta que la interfaz de red del encaminador NAT IPCop conectada a la red externa (RED), obtiene la IP de forma dinámica. En esta práctica nuestro servidor DHCP le ha asignado la IP 192.168.1.23.- Ping a IPCop desde máquina de la red local virtual (Volver al índice General)
La primera de las pruebas que vamos a realizar consistirá en hacer PING desde nuestro equipo de pruebas Debian a la puerta de enlace (IP de la máquina con máquina IPCop).$ ping 10.33.1.1
El resultado del PING nos indica que desde la máquina de pruebas llegamos a la puerta de enlace. En teoría, todas las máquinas de la red interna pertenecientes a la red 10.33.1.0/24 deben de llegar a la puerta de enlace.
- Ping al exterior desde máquina de la red local virtual (Volver al índice General)
La segunda prueba que realizaremos será hacer PING desde una máquina de la red interna (nuestro equipo de pruebas Debian) al exterior. Le haremos PING a Google y accederemos a la página de Google.$ ping www.google.es
Figura B1: El resultado del PING nos indica que desde la máquina de pruebas llegamos a direcciones que están fuera de nuestra red interna. En teoría, todas las máquinas de la red interna pertenecientes a la red 10.33.1.0/24 deben llegar a direcciones externas.
- Acceso a la interfaz web de IPCop desde máquina de la red local virtual (Volver al índice General)
Desde nuestra máquina de pruebas, accederemos a la interfaz web de IPCop. En nuestro caso la URL de acceso es https://10.33.1.1:8443, el usuario será Admin y la password la que le asignamos durante la instalación de IPCop. - Accesos denegados (Volver al índice General)
El acceso a la interfaz de administración de IPCop solo podrá realizarse desde una máquina conectada a la red interna (GREEN). Los intentos de acceso desde el exterior están denegados.
IPCop tampoco responderá a PING provenientes de la red externa, ya sea a su interfaz conectada a la red externa (RED) o a la interfaz conectada a la red interna (GREEN). Tampoco las máquinas conectadas a la red interna responderán a los PING que provengan de la red externa.Los accesos por ssh y telnet desde la red interna y externa, también están bloqueados.
La Figura H y la Figura I se corresponden con pruebas realizadas desde la máquina anfitrión desde la red externa (RED)
La Figura J y la Figura K se corresponden con pruebasruebas realizadas desde máquinas conectadas a la red interna (GREEN)
Con esta batería de pruebas terminamos el artículo comprobando que nuestro equipo con IPCop realiza la función de encaminador NAT. Ahora, ya conocemos la arquitectura y solo nos queda implementarla físicamente.
No olvidemos que IPCop puede desempeñar muchos más roles además de encaminador NAT. Si buscamos en la documentación de IPCop, ¿Qué es IPCop? encontraremos la siguiente respuesta «IPCop es un cortafuegos; de principio a fin y siempre».
- Ping a IPCop desde máquina de la red local virtual (Volver al índice General)
- Lista parcial de prestaciones de IPCop
- Filtros de red IPTables
- Soprte para discos IDE, SATA, SCSI y CF (CompactFlash). Con RAID por software opcional.
- Soporte para cuatro redes:
- GREEN: Red interna de confianza.
- AZUL: Red inalámbrica semi-confiable (puede usarse como una segunda GREEN)
- NARANJA: DMZ demilitarized zone (Zona desmilitarizada) para servidores accesibles desde Internet.
- RED: La red conectada a Intenet mediante:
- Módem analógico.
- RDSI
- Conectado a una tarjeta de red:
- Conectado por USB (con el driver adecuado):
- Módem DSL.
- Cable Módem.
- Soporte para Múltiples IPs “Real” en RED cuando se usan IPs estáticas.
- Soporte de cliente DHCP en RED para recibir una IP del ISP, también soportando la actualización de un DNS dinámico (DDNS) cuando esta IP cambia.
- Servidor DHCP para GREEN y AZUL para simplificar la configuración y el mantenimiento de la red.
- Servidor y cliente NTP para ajustar el reloj de IPCop y proveer un reloj común para las redes GREEN y AZUL.
- Red Privada Virtual (VPN) para permitir a múltiples localizaciones actuar como una única gran red.
- Red Privada Virtual (VPN) para permitir a los usuarios remotos acceder a la sede principal (RoadWarrior).
- Un Proxy tanto para navegar por Web como para DNS. Perrmite una respuesta de conexión “más rápida” y una configuración de red simplificada.
- La Administración tras la carga inicial es mediante una interfaz Web segura, que incluye:
- Gráficos de rendimiento de CPU, memoria y disco, así como de tráfico de red.
- Vista de registros con autorotación.
- Soporte multilenguaje.
- Uso de equipos antiguos. 486 o superior, tamaño de disco mínimo de 512 MB y al menos 64 MB de RAM.
Enlaces externos (Volver al índice General)
Espero que este artículo os haya sido de utilidad. Si pensáis que podéis colaborar para mejorar este artículo, que hay algo erróneo en él o simplemente deseáis comentarlo, por favor, dejad vuestra opinión más abajo.
Nano
Muy explicito su tutorial. Le felicito. Me ha ayudado a entender mucho mejor el funcionamiento de IPCOP. Gracias.
J. Carlos
Me alegro que así sea y gracias a usted por la visita.
Ulises
Buenas, Primero, muchas gracias por el tutorial
¿sabría decirme e qué fichero guarda ipcop las reglas del iptables en modo texto?
J. Carlos
Hola Ulises,
Los Administradores pueden añadir sus propias reglas al cortafuegos bien desde la interfaz web o también, desde el archivo
/etc/rc.d/rc.firewall.local
.Espero que sea esto lo que preguntas y gracias por visitar ZeppelinuX
Cristian
Hay alguna posibilidad de que alguien me ayude con la instalación y configuración. Hago todo bien. Todo queda en verde ‘done’ al ejecutar ipcop. Pero no logró acceder a interfaz web desde otro pc ni menos acceder a Internet.
Les dejo mi whatsapp si es que alguien quisiera comunicarse conmigo. Se lo agradecería mucho y ofrezco 150 dólares si llega a conectar.
+56983361691