Por José Manuel Gómez
Ya he dicho por aquí alguna vez que uno de mis defectos (que a la vez constituye probablemente una de mis virtudes) es mi afición por experimentar, y no por necesidad, sino por el propio placer de experimentar. Por pura vergüenza torera no suelo comentar los ocasionales desastres a que esa irrefrenable tendencia me lleva, aunque cualquiera puede imaginarlos. Sin embargo, esa actitud tan temeraria con lo tecnológico también produce de cuando en cuando resultados memorables (como mi abandono de Open Linux, motivado por el descubrimiento de Arch, ya comentado antes en otra nota).El caso que quiero comentar hoy es similar en su génesis, porque la verdad es que no tenía ninguna necesidad de cambiar el cortafuegos de mi máquina vieja: un satisfactorio Smoothwall, que lleva meses desarrollando un excelente trabajo. Quizás precisamente por eso, porque no había ninguna necesidad, decidí lanzarme a la piscina y darle una oportunidad a IPCop...
Actualización (domingo 18): IPCop promete dar mucho juego, así que he renovado la sección de cortafuegos para darle cabida y he creado un foro específico. Muy pronto, más novedades...
En el caso concreto de IPCop la descarga de la última versión (1.4.11, en este momento) se realiza desde aquí. Se trata de una imagen ISO de 46 MB, lista para quemar un CD. Una vez realizada la descarga y la grabación, basta arrancar la máquina con el CD en su unidad. Las necesidades de hardware y el proceso de instalación son casi idénticos a los de Smoothwall, pero he puesto algunos pantallazos aquí para quien sienta curiosidad. Una vez instalado debe arrancar sin problemas, lo cual, una vez comprobado, nos permite retirar teclado, ratón y monitor del ordenador que hará de cortafuegos. A partir de ahora, conectaremos desde nuestra máquina a la dirección https://ipcop:445, desde la que podremos afinar al máximo el comportamiento de IPCop.
Vaya por delante que Smoothwall e IPCop tienen una concepción muy similar, algo que sin duda facilita la migración. En ambos casos se trata de descargar una imagen ISO, quemar un CD y dedicar un ordenador viejo al asunto. Y también en ambos casos la base es una distribución linux adaptada a la misión concreta de cortafuegos. Por eso, mucho de lo que dijimos sobre Smoothwall resulta también de aplicación a IPCop. De hecho, casi resultará más breve comentar aquí las diferencias que las similitudes:
- Sin duda es cuestión de gustos, pero el interfaz gráfico de IPCop me resulta más moderno y agradable que el de Smoothwall. Por otro lado, todo está traducido al español (una traducción no muy elaborada, cierto, pero de gran utilidad para todos aquellos a quienes el inglés utilizado en Smoothwall pueda suponer un problema añadido). Además, los menúes son desplegables en vertical, algo que quizás favorece la usabilidad frente a los menúes horizontales (tipo pestaña) con varios niveles de Smoothwall.
- La pantalla inicial de IPCop muestra la dirección IP del equipo, algo que en Smoothwall requiere un módulo adicional.
- No se requieren actualizaciones. No sé si esto es bueno o malo, pero desde luego resulta cómodo (recordemos que tras una instalación limpia de Smoothwall necesitábamos instalar nada menos que 8 parches, con un incómodo reboot después de cada uno).
- IPCop también permite cambiar más fácilmente las contraseñas de acceso, y también permite el acceso mediante SSH (aunque no dispone para ello de la cómoda terminal en Java que trae Smoothwall).
- IPCop permite hacer una copia de seguridad de su configuración a un disquete (que en la traducción se llama "diskette flojo" ;).
- La pestaña de "Estado del Sistema" muestra también los módulos cargados. En "Estado de Red" se muestran además las tablas de ruteo y de entradas ARP. El control sobre el servidor DHCP es mucho más completo. El soporte para DNS dinámico (que permite ejecutar servidores desde IPs dinámicas) es muy similar al de Smoothwall.
- Una importante novedad respecto a Smoothwall (en que requiere un módulo específico) es que IPCop incorpora "de serie" Control de Calidad de Servicio (QoS), donde se puede configurar el caudal de tráfico asignado a diferentes puertos y servicios.
- Excelentes gráficos de control que incluyen uso de CPU, memoria, swap y disco. Otro tanto cabe decir del Tráfico de Red para cada interfaz y las conexiones de IPTables. Pero la mayor novedad frente a Smoothwall son los gráficos de uso del proxy, que permite tenerlo todo delante con un solo vistazo.
- En el apartado de cortafuegos todo similar: reglas de reenvío de puertos y accesos externos. También existe soporte para redes privadas virtuales (VPN).
- Y, "last but not least", sin duda lo que más me ha gustado es la facilidad para actualizar las reglas del detector de intrusiones Snort. Si te registras en la web de Snort (2) dispondrás de una cuenta con la opción de obtener un código Oink. Cuando lo tengas lo pegas en la casilla correspondiente de IPCop y podrás descargar reglas actualizadas que se instalan automáticamente. ¡Genial!
Más información:
- Galería de imágenes de la instalación.
Cuidado con la instalación en castellano y el copfilter
jcb20 Junio 2006 - 5:46pm
Hola, suelo leer esta página de forma más o menos esporádica aunque últimamente con algo de periodicidad, pero me acabo de suscribir y es mi primer mensaje.
Solo quería comentar dos cosas:
Instalando el ipcop (1.4.10) + copfilter + firewalladdons, me he encontrado con un problema cuando realizo la instalación del copfilter si he instalado el ipcop en castellano. En vez de salir el mensaje normal sale caracteres extraños y por fin la opción de instalar el copfilter.
Lo que no se es si el copfilter funcionaba bien o no después de una instalación así, porque me entró un poco de miedo y preferí reinstalar todo en inglés (al fin y al cabo no había configurado nada y el ipcop se instala en un momento).
La segunda cosa es que tengo problemas con el port forwarding y la red naranja, pero como todavía no has hablado nada de esa sección (lógico en el primer mensaje sobre el tema) esperaré a que llegues para plantear mis preguntas sobre el asunto.
(He editado el mensaje para aclarar la versión del ipcop y clarificar el título.)
bloquear el tráfico saliente
crowd18 Junio 2006 - 1:59pm
Me ha gustado especialmente el modulo [bot] block outgoing traffic, que permite añadir reglas de filtrado de salida, no se si smoothwall lo tenia, pero yo no lo vi y era algo que queria.
Un saludo
Bloquear puertos especificos a usuarios especificos, se puede?
aluziner17 Junio 2006 - 1:00am
Hola, soy un lector de Kriptópolis desde hace años, actualmente estoy buscando una alternativa open al ISA Server, por lo que me interesan mucho estos temas, he buscado en la documentacion del IPCop a ver si ofrece la posibilidad de bloquear puertos especificos (Ares, eMule, MSNMsg, Etc) a ciertos usuarios pero no he encontrado nada, se puede hacer esto en IPCop o en Smoothwall ?? o alguien que sepa de alguna otra alternativa.
Gracias de antemano.
Solo hay 2 cosas infinitas: El Universo y la Estupidez, y no estoy seguro de la primera. Einstein.
Complementos de IPCop
JMG (no verificado)18 Junio 2006 - 10:29am
Echa un vistazo a la sección de complementos para IPCop.
Creo que Banish o BlockOutTraffic pueden ajustarse a lo que necesitas, pero si no es así busca también aquí.