Para mostrar la utilidad y dejar abierto el camino a descubrir las posibilidades de IPCOP propondremos un ejemplo de instalación. Si bien se pueden gestionar configuraciones más simples o más complicadas utilizaremos una con suficientes elementos como para justificar la necesidad del uso de un cortafuegos.
Por una parte en el apartado de comunicaciones contaremos por ejemplo con una línea ADSL con IP fija (con una dinámica también podemos trabajar, tan sólo es un ejemplo) y un router ADSL cualquiera con conexión Ethernet, en adelante hablaremos de WAN a esta conexión. En cuanto a los ordenadores imaginaremos que en nuestra instalación contamos con un conjunto de estaciones de trabajo y tres servidores, el servidor “UNO” presta servicios a las estaciones de trabajo y los servidores “DOS” y “TRES” dan servicios de web y correo tanto a las estaciones de trabajo como a accesos externos desde internet.
Si conectamos todos los equipos a un switch Ethernet y el router ADSL al mismo switch, tendremos acceso local a todos los servidores y si abrimos los puertos del router correspondientes a los servicios accesibles desde el exterior (por ejemplo web y correo) ya tendremos “todo funcionando”. Esta es la manera más rápida y sencilla, pero de este modo dependeremos de la seguridad del sistema operativo, de la seguridad de las aplicaciones que ofrecen accesos externos y de la seguridad de nuestro router ADSL para que nos protejan de intrusos desde el exterior, ya que si alguien rompe una de estas medidas de seguridad tendrá acceso directo a nuestro servidor local y estaciones de trabajo. Como se puede comprobar no es un escenario demasiado recomendable por lo que se plantea la necesidad de separar por una parte a los servidores locales y estaciones de trabajo (zona LAN) y por otra a los servidores que presten servicios externos a través de internet (zona DMZ). También necesitaremos que los dos grupos de ordenadores accedan a internet y que las estaciones de trabajo accedan a los servicios de los servidores con accesos externos y que estos servidores no puedan acceder a la zona de estaciones de trabajo para garantizar su seguridad.
De esta manera hemos convertido nuestra instalación en tres zonas, la “LAN”, la zona “DMZ” (Demilitarized Zone) y la zona WAN (acceso a internet).
Con IPCOP podemos hacer que todo funcione como hemos descrito anteriormente, las zonas que hemos descrito pasan a tener otros nombres en IPCOP, la zona LAN se denomina “green zone”, la zona DMZ se denomina “Orange zone” y el acceso a internet “WAN” se denomina “Red zone”.
IPCOP permite, por supuesto, realizar configuraciones mas sencillas de dos zonas por ejemplo “RED zone + GREEN zone” que podría ser un grupo de ordenadores domésticos con un acceso a internet gestionado por el propio IPCOP. Ademas de estas configuraciones también permite el uso de líneas RDSI como “backup” para acceso a internet o incluso el uso de una cuarta zona “BLUE zone” que se encargaría de accesos inalámbricos, accesos permitidos y su seguridad.
