Hasta ahora, me he ido manejando con el IPCop, basicamente no he necesitado nada más serio ni nada que realmente me hiciera filtro proxy de las web's de los usuarios. Hoy, puedo afirmarlo sin atisbo de dudas, IPCop, ha muerto... ¡¡¡LARGA VIDA AL IPFIRE!!!.
IPFire es una distribución de Linux que mezcla el concepto de firewall con el de router para tener una maquina todo en uno y poder dar servicio a varias maquinas en su salida a Internet, así como en su seguridad, puesto que, al igual que IPCop, permite levantar VPN, dar acceso a través de equipos remotos... en pocas palabras, es una plataforma de seguridad. Contiene un sistema de 32 bits y soporta tecnología ARM
Las necesidades de este programa para funcionar son muy simples, una tarjeta ethernet para dar acceso a la LAN (identificada como Green), otra tarjeta, para dar acceso a Internet (identificada como Red) y, si queremos rizar el rizo, necesitaríamos dos tarjetas de red más, una ethernet y otra WLAN (Wireless LAN), en la que, respectivamente iría la zona DMZ (Zona exclusiva para servidores, de limitado y controlado acceso) que se identificaría como Orange y la zona WIFI, que se identificaría como Blue.
Instalación
Antes de empezar, es muy importante que conozcamos la MAC de cada una de las tarjetas de red que van a intervenir en la instalación. Normalmente, vienen en una pegatina en la propia tarjeta de red o, si en la maquina hay otro sistema operativo montado, apuntarlas directamente del sistema.
Bueno, la instalación es simple, hay que prestar atención a unos pocos detalles, pero no tiene mucha historia. Lo primero, es entrar en la web oficial de
IPFire y una vez dentro, descargarnos la imagen ISO, grabarla en un CD con el programa que más te guste, lo metemos en un equipo o en una maquina virtual
 |
| Pantalla de arranque del CD |
En la opción "Other installation options", encontraremos dos opciones sin demasiada relevancia, como son la instalación en modo texto y la destendida. Si os explicara la instalación desatendida, aquí terminaría este pequeño tutorial. En las "Tools" encontaréis el memtest por si estáis teniendo problemas con la instalación y un programa que chequea vuestro hardware por si tienes problemas de compatibilidad.
 |
| Ventana de selección de idioma de instalación |
Al hacer clic en la instalación se nos abre una ventana que nos pide que indiquemos el idioma en el que queremos realizar la instalación. Las siguientes ventanas las voy a pasar por encima, puesto que son la de bienvenida y la de la licencia.
 |
| Ventana de Bienvenida |
 |
| Ventana de aceptación de la licencia GNU de IPFire |
 |
| Ventana de aviso borrado de datos del disco duro |
 |
| Ventana selección sistema de archivos |
Las dos ventanas anteriores, en la primera se indica que va a particionar el disco duro completo, si elegimos "No", nos dará la opción para poder particionarlo nosotros mismos. En la segunda pantalla le indicamos cual es el formato que queremos darle al disco duro. Recomiendo ext4. Al darle a continuar, comienza el borrado de los datos del disco duro y la instalación de archivos.
 |
| Barra de progreso instalación IPFire |
 |
| Finalizada la instalación de archivos de IPFire |
Una vez concluída la instalación de los archivos, nos pedirá reiniciar la maquina y que saquemos el CD, cosa bastante lógica, porque en caso contrario, volveríamos a entrar en el menú de instalación. Las ventanas siguientes son para seleccionar el idioma de la instalación y para indicar la zona horaria.
 |
| Ventana de GRUB arranque IPFire |
 |
| Selección de idioma de configuración IPFire |
 |
| Selección de ubicación geográfica equipo IPFire |
En la siguiente ventana (aunque en esa me falta el pantallazo) introduciremos el nombre del equipo y el nombre de dominio. El nombre que yo he escogido para mi maquina es "Cancerbero". Para los que no lo sabéis,
Cancerbero es el perro que cuidaba que nadie entrara o saliera, a menos que tuviera que hacerlo, del inframundo, se le dice comúnmente Cancerbero, aún llamándose Cerbero, porque es un cánido, de ahí lo de Cancerbero. ¿Soy un friki? pues si, para que nos vamos a mentir. La ventana del dominio, me he permitido ponerle el dominio
.local. En una red, es sumamente recomendable usar el dominio .local en lugar de
.com o
.net para evitar posibles problemas con las web's externas y definir correctamente un dominio y su ámbito.
 |
| Nombre de equipo y de dominio de IPFire |
Llegamos a las ventanas de las contraseñas. La primera ventana es para el usuario root. El usuario root es el administrador en una maquina Linux. Es el usuario con más privilegios y deberíamos ponerle una contraseña que sea compleja, al fin y al cabo, esta maquina es nuestro "muro" para cortar el acceso a personas indeseadas a nuestra red. Un detalle de estas dos ventanas que vienen a continuación, es que ninguna de ellas mostrará asteriscos, ni estrellitas ni nada mientras vayamos escribiendo la contraseña. Creo que eso es bueno en cuanto a seguridad. Ningún "ojo indiscreto" verá el tamaño de nuestra clave.
 |
| Clave usuario root administración IPFire |
La siguiente clave que nos pregunta es la clave del usuario
admin. Este usuario es el que va a gestionar desde la interfaz gráfica de usuario (GUI) el firewall, es decir, la mayoría de las gestiones las realizaremos con este usuario desde la web. La contraseña también os recomiendo que sea un poco compleja.
 |
| Clave usuario administrador IPFire para GUI |
Aquí llega la parte más importante, que es donde seleccionamos el tipo de red que queremos montar, así como direcciones IP de las interfaces. Nos aparece un menú con cuatro opciones. Vamos a explicarlas una a una.
 |
| Menú de configuración de red servidor IPFire |
Al entrar en la primera opción, nos va a permitir seleccionar la configuración de red que IPFire va a manejar. Como expliqué al principio, esta configuración va a depender de nuestra red, así como del número de interfaces que disponga el ordenador. El sistema la va a identificar por colores, siendo
Green la red de trabajo,
Red la conexión a internet,
Orange un sistema DMZ o Zona DesMilitarizada que es donde tendríamos los servidores con un acceso restringido por puertos directamente y
Blue una red de trabajo WIFI. Por tanto, hay que seleccionar la configuración que más se adapte a nuestra red. Yo dispongo de una maquina con dos tarjetas de red, por tanto, mi selección será
Green + Red
 |
| Tipos de configuración de zonas |
A continuación, hay que seleccionar que interface hará cada función. Para hacerlo, seleccionamos la función y presionamos Intro. En este punto, será cuando necesitaremos saber cual es la MAC de cada tarjeta para asignarle la función correctamente. En caso de no saberlo o no haberlo apuntado, la solución es bien simple, una vez concluida la instalación, cambia el orden de los conectores en la tarjeta. :)
 |
| Tarjetas de red asignadas |
Las dos pantallas que vienen a continuación, la primera es una visualización del sistema preguntando que interfaces asigna a la LAN y cual a la parte de internet. Hay que seleccionarlas y, cuando hayamos concluído, podremos ver algo parecido a la segunda ventana, donde nos esta mostrando que los dos interfaces ya tienen red asignadas.
 |
| Selección de interfaz |
 |
| Tarjetas de red asignadas a zonas seleccionadas |
Una vez concluido, volveremos al menú principal y seleccionaremos la siguiente opción
Configuración de direcciones. Aquí es donde indicaremos la dirección de cada interface. En mi caso, la línea ADSL ofrece IP a través de DHCP y mi red va a ser del tipo 192.168.1.0/24.
 |
| Configuración de direcciones IPFire |
Al seleccionar el interfaz
Green el sistema nos va a mostrar una advertencia indicando que el cambio que vamos a realizar, nos cortará la conexión una vez realizado. Es lógico, al fin y al cabo estamos configurando la tarjeta de red a través de la que, en caso de estar haciéndolo remotamente, estaríamos conectándonos a este menú. En caso de estar conectados en remoto, si se configura todo correctamente, esto será un corte temporal.
 |
| Advertencia para conexión remota |
En la siguiente pantalla, indicamos la dirección IP que deseamos darle a la interfaz
Green. Esta dirección, será la puerta de enlace que hay que configurar en los ordenadores de nuestra LAN. En mi caso, deseo darle la 192.168.1.1/24. En caso de no estar familiarizado con las mascaras de red, el /24 que acompaña a la IP es el número de bits que tiene la red "estáticos", es decir, los que componen la red o, la diferencia con /32 el número de bits disponibles, siendo /32 el máximo que indicaría a una maquina concreta dentro de una red solamente, en otras palabras, define la cantidad de maquinas que podré configurar en esa red con ese rango de IP's. Al indicar /24 quiere decir que la mascara de red es 255.255.255.0 y podré configurar un total de 254 dispositivos conectados en ella. Si, por el contrario, hubiera puesto /30, la mascara de red sería 255.255.255.252 y solo podría configurar dos dispositivos en ella. Vale... aquí se me ha ido un poco la mano con la explicación y me ha quedado muy raro, pero, es viernes por la noche y estoy en mi casa escribiendo esto, no esperéis mucho más, si tenéis dudas, consultadme y os lo explico bien.
 |
| Configuración IP interfaz Green |
A continuación, haremos lo mismo con la interfaz que va a internet, la
Red, que como he dicho antes, en mi caso se la da el propio router. Mejor dicho, en la maquina virtual que he usado para pegar los pantallazos en el blog, se la he configurado como DHCP, puesto que es una configuración que usa un NAT con el equipo huesped. La realidad, es bien distinta. En en router de nuestro proveedor, deberemos tener configurado para que todos los paquetes los mande a una IP en concreto, que debe ser la IP que le pongamos a la interfaz
Red.
 |
| Configuración IP interfaz Red |
Una vez finalizado, debemos acceder a la cuarta opción del menú que nos permite configurar las DNS por defecto del IPFire, así como la puerta de enlace. Esta puerta de enlace, se refiere a la puerta de enlace de la interfaz
Red, que es la que conecta a internet. Escribimos las DNS que usará como reenviador el servidor DNS que lleva configurado el IPFire y que, a su vez, son las que usará la maquina para buscar sus repositorios.
 |
| Configuración de DNS y Gateway de IPFire |
Una vez concluido, haremos clic en Terminado para continuar con la instalación del sistema.
 |
| Menú de configuración de red concluido |
Comenzaremos la configuración del servidor DHCP. Para activarlo, hay que presionar la tecla Espacio en Activado, una vez hecho esto, debemos indicarle la dirección de inicio y la final del rango que queremos que suministre a los equipos a los que le entregará dirección. También podemos indicarle un servidor DNS, en caso de que no queramos que el IPFire actue como servidor DNS, el tiempo de concesión de la dirección mínimo y el máximo y el sufijo del nombre de equipo que queramos entregar a los equipos.
 |
| Configuración servidor DHCP IPFire |
Y terminó. Esta es la configuración básica del IPFire. Una vez hecho esto, comenzará a entregar direcciones a nuestros equipos. Tengo ya empezado la entrada en la que explico la administración básica, así que, tranquilos, esto no acaba aquí, pero este programa es extenso y no estoy escribiendo un libro :)
Actualizado: Ya está disponible el siguiente capitulo que es
actualización e instalación de addons en IPFire
 |
| Instalación concluida IPFire |
Muy buena entrada Goyo. Ya sabes que ando un tiempo detras de una solucion para implementar en mi empresa. Me interesa centralizar todas las conexiones a Internet en una sola maquina a modo de Gateway para poder monitorizar de alguna forma los sitios a los que se accede, ademas de poder filtrar los accesos a determinadas webs y demas (y si ademas se pudiese hacer por tramos horarios pues ya seria la caña). Como todo estara en pruebas aun me interesaria poder hacer las pruebas en una VM. Y aqui es donde viene la consulta del millon. A ver. Tengo una maquina host con una sola tarjeta de red. En la VM creo una maquina con varias tarjetas virtuales. Instalo el IPFire. ¿Me funcionaria correctamente?. Supongo que IPFire veria realmente varias nics distintas, pero no se si despues a efectos practicos el tema tiraria o no. ¿Has intentado tu algo parecido?. La instalacion en produccion si iria sobre una maquina con varias nics, por supuesto, pero para las pruebas no me insteresa montar una fisica especifica para esto. Venga, un saludo y gracias mil.
ResponderEliminarSin lugar a dudas y sin temor a equivocarme, te digo que tu solución, es IPFire. En la próxima entrada (la tengo ya bastante avanzada), verás la configuración que ofrece IPFire como Proxy transparente y la versatilidad, puesto que hace exactamente lo que estás buscando.
EliminarAcerca de la maquina de pruebas, yo uso Oracle VM Virtual Box, que te permite asignar de manera muy simple tarjetas a una maquina virtual. Puedes usar este mismo manual para poder realizar la instalación. Crea una maquina virtual y sigue estas instrucciones. A la interfaz roja, se la asignas por DHCP, le dará una dirección 10.0.0.2 o algo así... y a la interfaz verde, le pones la IP 192.168.0.1 (si en el curro usas ese rango, entonces ponle 192.168.1.1). Creas otra maquina virtual y le pones la IP 192.168.x.2 y la puerta de enlace la 192.168.x.1. Esa segunda maquina virtual, estará usando el IPFire para navegar.
En cualquier caso, puedes poner una maquina en producción a hacer esta función, puesto que el IPFire en la instalación recien hecha, es transparente, no corta nada, solo lo que venga de internet (y poquito), puesto que hay que configurar el firewall.
Bueno, pues nos pondremos con ello mientras esperamos con impaciencia el siguiente capitulo de esta serie. Yo prefiero VMWare, no se exactamente el por que, pero lo veo algo mas versatil que Virtual Box (corrigeme si me equivoco, please). Por supuesto el tema de precios es importante, of course, pero lo veo algo como mas estandar ...
EliminarVMWare...puff...yo es que el Player... no me gusta, la verdad. Creo que esto es como ser calvo; hay a quienes nos sienta bien :)
EliminarVirtualBox te permite abrir maquinas creadas en VMWare, hoy día, todo es estandar. Lo cierto es que todos dicen ser el mejor. La realidad es que la diferencia entre ambos, a nivel de maquinas virtuales locales, es mínima.
hola ya termine todos esos pasos que pone usted pero ya despues que le doy ok me pide la contraseña de root la pongo y me marca error ya lo en intentado varias veces para pocer entrar y naDA
ResponderEliminarbuenas, debes usar para la administración web el usuario admin y la contraseña que pusiste durante la instalación
Eliminarhola queremos entrar al usuario root y nos dice commat no fund
ResponderEliminarya se cargo pero al terminar de cargar nos pide ipfire login: aki ponemos root
ResponderEliminary de ahi nos pide password: le agregamos nuestra contraseña y nada.
nosotros instalamos ipfire desde un disco se borro mi sistema windows
Bueno... ante todo, lamento que hayas perdido la partición de windows en la instalación del IPFire y espero que no tuvieras nada que no tuvieras copia de seguridad, estas cosas son un quebradero de cabeza cuando pasan.
EliminarSin tener más datos que la explicación que me das, creo que lo que te está pasando es que cuando le pones la contraseña al usuario root te accede al sistema. Debes tener en cuenta que IPFire montado en un equipo exclusivo para él, es un sistema operativo por línea de comandos, es decir, para acceder a la consola de administración, debes acceder desde otro ordenador siguiendo los pasos de este otro tutorial http://systembackdoors.blogspot.com.es/2013/09/actualizacion-y-addons-para-ipfire.html En este se indica como acceder a la consola de administración "bonita" de IPFire.
Ok entonces necesitare otro equipo y si lo instalo de manera virtual ygual sirve.y ahi ya no necesitaria otro equipo esa es mi dudao. Lo quebpasa es un proyecto que estamos haciendo desde la makina que tenga ipfire vamos adarle accesos a otra ya sea poder blokearle facebook o ciertas paginas..seravmejor de manera virtual????
ResponderEliminarSi solo quieres usar la parte del proxy, puedes hacerlo con una maquina virtual en un ordenador, pero el montarlo así tiene muchas limitaciones:
Eliminar1.- Debes tener encendido el ordenador en el que estará instalado y la maquina virtual
2.- Un usuario "espabilado" podrá saltarse tu proxy introduciendo directamente la dirección de IP de tu puerta de enlace para navegar por internet
3.- No usaras, y si lo usas no te servirá de nada, la funcionalidad de firewall ni ninguna otra que te ofrece un sistema tan potente como ese.
Si solo lo quieres por capar páginas, echale un vistazo al producto de OpenDNS (http://www.opendns.com/) que es bastante funcional y si no tienes dominio ni complicaciones para poder poner unas DNS personalizadas, te vas ahorrar mucho trabajo.
Hola buebnas tardes. Bueno soy nuevo con ipfire. Lo he montado en un pc y lo tengo de puente entre mi router y mi red interna. Tal como lo tengo no me deja entrar ahora en mi router y desde el exterior ahora no puedo acceder a mis cámaras ni a mi servidor por escritorio remoto. El pc con ipfire tiene dos tarjetas. Red con la ip 192.168.1.3 y otra green con ip 192.168.1.2. La que va conectada al router es la red y la green al switch de la red interna. Mi router está en la ip 192.168.1.1.
ResponderEliminarHe probado con multiples configuraciones del firewal pero nada. Si me pudiera indicar como fucniona todo esto se lo agradezco muchísimo. Le resumo lo que necesito en realidad: Acceder desde fuera de mi empresa (tengo ip fija) a mi servidor por escritorio remoto. Mi servidor está en la ip 192.168.1.250 y puerto 1540, también a mis cámaras que estan en la ip 192.168.1.13 y puerto 9191 y la otyra en la ip 192.168.1.14 y puerto 9192. Y desde mi red interna poder acceder al router que está en la ip 192.168.1.1.
Gracias de antemano.
hola unknown usa vpn !!!
Eliminar