IpCop Linux Firewall Parte II Características
Siguiendo a la primera parte del articulo y viendo que hay varios interesados he decidido adelantar una segunda entrega en la que comentaré algunas de sus características principales así como las implementaciones en las que lo estoy utilizando y en las que podría utilizarse para tener una idea de las posibilidades que ofrece.
IpCop en principio es un softwrae enfocado a realizar las funciones de un Firewall lo que nos permite asegurar nuestras redes de una forma totalmente transparente y con un coste de implementación muy bajo ya que los requerimientos de este son mínimos y además es software libre lo que elimina costes de licenciamiento. Es cierto que otros sistemas como lo puede ser ISA Server (Internet Security and Acceleration Server) pueden mantener una mejor convivencia con sistemas Windows Server, pero estos son muy caros y este tipo de soluciones nos da la posibilidad de disponer de una mayor protección en la red con un coste de implementación mínimo.
Como comenté en el primer artículo, a IpCop podemos completarlo añadiendo infinidad de Addons que nos van a permitir ampliar las características de este otorgandonos un mayor control sobre las conexiones procedentes desde Internet hacia nuestra red local así como de nuestra red local hacia Internet. De entre la multitud de Addons que existen tanto oficiales como no oficiales yo actualmente hago uso de los siguientes:
Advanced Proxy
Este Addon nos amplia enormemente las posibilidades de controlar las conexiones salientes de nuestra red hacia Internet. Entre algunas características estan la de Baneo de ip’s, Baneo de MAC’s, acceso no restringido utilizando un filtrado tanto por Ip como por MAC, restricciones por tiempo, restricciones de descarga y subida (tamaño de estas) y uno que me ha gustado mucho, restricción de navegadores y otros similares como Internet Explorer, FireFox, Opera, Media Player, Google Toolbar, Netscape y muchos otros. Una de las características que mas me ha gustado (aunque no he sido capaz de poner en marcha) es la de controlar los accesos validando contra Active Directorio o mediante LDAP entre otros.
Update Accelarator
Este addon nos va a permitir cachear las descargas de Windows Update Symantec y otros. esto es muy útil sobre todo en redes grandes ya que las actualizaciones se realizan directamente desde nuestro IpCop y no consumen ancho de banda además de requerir muchisimo menos tiempo. Para trabajar con este una vez instalado deberemos de acceder a Advanced Proxy y habilitarlo para poder ponerlo en marcha.
URL Filter
Este addon es uno de esos que tanto les gustan a los jefes ya que se dedica a bloquear accesos a páginas Web según su contenido o incluso a bloquear el acceso a todo salvo a lo que nosotros le digamos. Entre los filtros que trae esta el filtrado de páginas de contenido pornográfico, drogas, violencia, agresivas étc…
CopFilter
Esto mas que un Addon es una suite de aplicaciones indispensable, cuenta con varios motores antivirus, filtrado de spam, proxys SMTP, POP3, HTTP y FTP y va a ser una de las herramientas que nos va a ayudar muchisimo a asegurar nuestra red de contenidos no deseados así como de correo SPAM que tan molesto resulta.
Ahora os explico un poco como lo estoy implementando enmi propia red y otras posibilidades que estoy planteando. Actualmente mi modem/router conecta a una de las tarjetas de IpCop lo que le da acceso a Internet a través de la tarjeta de red denominada por IpCop como “RED”. En su tarjeta “GREEN” (denominada así por IpCop y que establece la conexión con la red local) ahora mismo tengo conectados el servidor y un AP (uno de los que forma parte de la red Wifi de la que hablo en uno de los articulos) para que todo este filtrado por IpCop, mis equipos cliente se conectan actualmente a través del servidor lo que ya hace muy compliacdo en ocasiones hacer redirecciones de puertos ya que estas han de estar establecidas en el router, IpCop y en el servidor para que lleguen a los equipos cliente. Con esta configuración consigo (mediante una VPN del switch que abarca 8 puertos) tener un punto donde los equipos salen a internet directamente a través del router sin tener IpCop de por medio (lo que utilizo para hacer pruebas rápidas y conectar el barebone del comedor y su P2P), la tarjeta GREEN da a otra VPN del switch con otras 8 bocas asignadas, aquí conecto el Servidor y el AP de marras y si tengo algún pc en reparación lo conecto en esta también para asegurarlo mejory evitar sustos. Esta VPN me es muy útil también para hacer escaneo de vulnerabilidades contra el servidor directamente para ver que problemas podría tener a la hora de que alguién consiga pasar de IpCop.
En la implementación en la que estoy trabajando actualmente haciendo uso de la virtualización estoy poniendo en práctica el uso de una DMZ (Demilitarized Zone o Zona DesMilitarizada) esto requiere de una tercera tarjeta de red en IpCop y que es denominada “ORANGE”. Al hacer esto se supone que todas las conexiones con esa parte de la red estan cortadas y es la parte de la red perfecta para colocar a los servidores ya que es donde mas protegidos van a estar. Actualmente nos os puedo adelantar mucho mas acerca de las DMZ con IpCop pero estoy trabajando actualmente en ello y no creo que pase mucho hasta que os escriba comentando como funciona y que posibilidades da.
Creo que de momento es todo, en un par de dias a mas tardar añadiré la continuación a la primera entrega de esta serie de artículos con sus videos y capturas correspondientes.
Un saludo a todos.
Sergio
Buenas, en primer lugar muy buenos los artículos ya que desde la visual de la gente que comenzamos con determinados temas, la simplificación de las cosas implica seguir investigando en ellas, y sobre todo que funcionen!! quería hacerte una consulta, instale un IPCOP en un Server con 2 tarjetas de RED y todo funciona bien, ahora mi problema viene cuando quiero agregarle algún Addons, me dice cuando le cuando le doy al botón “cargar” me da un msj de error “Esta no es una actualización autorizada. ” y ya eh probado con 256 de mem ram y 15 gb de disco, en el vmware y en el Server. también probé las versiones 1.4.14 y 1.4.15. gracias por la atención.
Pablo Martínez
La verdad es que no sé a que puede ser debido, si sé que la gran mayoría de los addon que hay por inet para IpCop no son oficiales, es decir los hace la gente, y habrán addon que serán buenos y funcionales al 100% y otro que no. Yo recuerdo haber probado CopFilter, ADVProxy, UpdateAccelerator y alguno más que no recuerdo.
Con esto lo que te quiero decir es que aunque el addon tu lo descargues viendo que es para IpCop es muy probable que este no haya sido diseñado y testeado en IpCop y que te de problemas posteriormente.
Un saludo.
Sergio
Eh probado con mozilla eh Internet Explorer y con esos 3 addons que tu dices,los baje de la pagina de ipcop.org en la parte de addons, pero me dice eso.Voy a intentar instalarlos con línea de comando. Gracias
Pablo Martínez
Ahhh vale, yo siempre los instalo desde la linea de comandos, en varios manuales de internet viene todo muy bien explicado y podrás realizar la instalación sin ningún problema. Si tienes dudas avisa e intento subr unos videos instalando addons.
Saludos.
Sergio
voy a encaminar mis pruebas por ese lado y te comento como me fue, gracias
Pablo Martínez
Suerte y al toro!!
Sergio
Buenas, te cuento que ya eh podido instalar en modo comando, que la verdad le queria escapar al tema, pero no me queda otra.resulto mas facil de lo que pensaba.Gracias
Pablo Martínez
Me alegro que lo hayas conseguido, la verdad es que al principio yo también era reacio a la consola pero después de ver que tiene tan poca complejidad y que no da tantos problemas como otras instalaciones en otros Linux, hasta te animas y te entran ganas de instalar más cosas.
Saludos y animos!
Drain
hellow , como bloqueo messenger en ipcop para la red entera LAN
Pablo Martínez
En un entorno administrado, te vas al firewall (en el caso de Windwos) y le bloqueas el MSN.
En un entorno no administrado mira a ver que puertos usa el MSN Messenger y los cierras… con eso listo.
Un saludo!
Sergio
hola, queria consultarte que opinion te merece el addon squidGuard, vale la pena usarlo? el tema es que eh tratado de instalarlo,pero no tuve suerte. Si vale la pena me podrias pasar las lineas de codigo ?
Gracias.
Pd: ya tengo operativo el IPCOP, y la verdad que funciona muy bien.
fsk
Tengo montado un ipcop con avanced proxy (proxy transparente) y update accelerator.
El problema es que cuando actualizo desde http://windowsupdate.microsoft.com, se descarga los parches desde el proxy local, pero falla luego al comprobar cada paquete.
Esto me pasa con todas las actualizaciones.
En el apartado de update accelerator, me reporta que están todos los parches correctamente.
Curiosamente, si borro la caché y actualizo un equipo, lo hace correctamente y guarda la caché, pero al actualizar cualquier otro, me reporta el error.
¿Qué podría pasar?
Pablo Martinez
Pues la verdad es que no se que decirte, yo utilice muy poco tiempo el IpCop y tuve que deshacerme del equipo por motivos que no vienen al caso pero vamos, que pude hacer pruebas un par de semanas y recuerdo tener problemas con otras cosas pero con la cache de actualizaciones no recuerdo haber tenido problemas la verdad. Mira a ver por inet si encuentras algo al respecto porque la verdad que no se me ocurre que puede estar pasando, de no ser que por algún motivo intente asignar la cache a un único equipo y por eso una vez se elimina y actualizas con otro todo funciona correctamente…
Mira a ver si tienes los equipos configurados en el IpCop se que hay formas de que trabaje con Active directory por ejemplo o asignarle equipos de la red.
Siento no poder ayudarte en esta ocasión.
Jmmy
Hola!
Una pregunt. Con el Advanced Proxy instalado en IPCOP, baneo un mac o una ip. Pero al banearla definitivamente dejan de navegar, pero lo que pasa es que pueden seguir chateando en el Messenger y descargando música o software con el ares, emule, y la mayoría de programas de descargas, como puedo evitar eso?
Pablo Martinez
Habría que mirar que opciones nos deja, yo ya casi no me acuerdop tendré que reinstalarlo para hacer memoria, si mal no recuerdo puedes evitar por servicios pero no recuerdo exactamente en que partes de la configuración era.
A ver si lo miro y os comento algo.
Jmmy
Hola. Tengo una pregunta para usted. Tengo un servidor con IPCOP con la siguiente dirección IP 192.168.10.1 en este servidor tengo 150 clientes. El problema es el siguiente, el servidor me deja de responder de 2 a 5 minutos, y luego trabaja normal. Lo primero que hice es instalarle IPCOP a otro CPU nuevo de los actuales CORE 2 DUO, 1GB DE RAM DISCO-DURO ID DE 160GB y todo nuevo, ponche nuevos cables y todo, coloque otro switch y me sigue dando el mismo problema. O será que tengo muchos clientes? Ayuda por favor. Muchas gracias…
Pablo Martinez
Hombre podriamos mirarlo a ver si por algún plugin (addon) o por algún problema en esa versión de IpCop te esta pasando esto, pero claro debes decirnos que addon y que versiones estas utilizando…
Un saludo.
Patricio
Hola, yo tengo un problema con mi IPcop y no eh podido detectar en concreto de qué se trata.Tengo instalada la versión IPcop1.4.21 La maquina posee una placa ASRocck, un micro de 2.26 (Intel Celeron D) un disco de 80 GB. y 512 de Ram.
El punto es que me funciona perfecto, hasta de de pronto se cae aparentemente el advanced Proxy y hace que nadie pueda navegar en internet, sin embargo los messenger de Yahoo y MSN siguen funcionando perfectamente. Entonces sólo me queda reiniciar el servidor manualmente, ya que no me permite ingresar a la interface de IPcop (http:// 192.168….) Ya no se que pueda ser, ya deshabilité el Filtro de URL, Acelerador de subida, la configuración del LOG. Y NECESITO EL ADVANCED PROXY, ya que hace mas rapida la conección por el cacheo.
Agradeceré infinitamente me puedan dar una mano en esto, si es que alguien tiene una somera idea. Agreguenme al MSN por favor es, menchocau@hotmail.com
Pablo Martinez
Hombre, este tipo de situaciones suele ser debido a problemas de configuración de hardware, al menos en lo que he podido ver y se ha comentado (ya no recuerdo si por aquí o por otros lugares de la red).
Podrías probar en hacer un chequeo de memoria antes de seguir y si tienes algún software para testeo de CPU u otros podrías probar a darles unas cuantas vueltas, ya que no creo que sea un problema de rendimiento.
Un saludo
JORGE
ESTA BUENISIMO TUS MATERIALES SERIA BUENISIMO SI LOS PODRIA DESCARGAR
Pablo Martinez
Muchas gracias por los ánimos, pero si no es mucho pedir trata de escribir en minúsculas ya que hacerlo en mayúsculas hace suponer que nos gritas a todos…
Igualmente muchas gracias por los ánimos.
Agustin
Buenas noches, antes que nada un saludo y felicitaciones por los tutoriales que son excelentes, tengo una pregunta concreta, llevo tiempo trabajando con software libre y he logrado configurar sin ningún problema el ipcop junto con advproxy y el urlfilter, en mi trabajo mantengo una red de aproximadamente 40 ordenadores, he hecho pruebas de testeo en mi maquina la cual obviamente trabaja con linux y he tenido que configurar el proxy manualmente en el navegador y me bloquea las paginas que quiero con exito, lo mas curioso del caso es que tengo el proxy trabajando en modo transparente y en el resto de las maquinas me ha tocado hacer lo mismo, pero al configurar los navegadores manualmente ya no me abre ninguna pagina y se me reinicia la conexión de los mismos, tengo el advproxy trabajando por el puerto 80 pero de igual manera las maquinas no me detectan el proxy, les agradecería algún consejo o una ayudita con este asunto, gracias por de antemano por sus respuestas.
Pablo Martinez
Pues creo recordar que había algo con esto, presta atención a estas opciones en el IpCop porque creo recordar que cuando dejabas de funcionar con el proxy transparente se modificaba algo, tal vez el puerto no sea el 80… ya no estoy seguro pero trata de darle un vistazo por si acaso y si te ves muy apurado puedo hacer un ejercicio de memoria y volver a instalarlo en virtual…
Ya me dices algo, un saludo.