Si necesitas ayuda para configurar Linux como un router con 3 interfaces de red, sigue este tutorial

¡Hola, entusiasta de la tecnología! ¿Alguna vez has soñado con tener un control absoluto sobre tu red doméstica o de pequeña oficina? ¿Cansado de las limitaciones de los routers comerciales? Si la respuesta es sí, estás en el lugar correcto. Aquí te mostraremos cómo convertir una máquina Linux en un potente y flexible router con tres interfaces de red, llevando la gestión de tu infraestructura a un nuevo nivel. 🚀

Olvídate de esos dispositivos prefabricados que ocultan sus entrañas. Con Linux, tendrás la libertad de personalizar cada aspecto de tu enrutamiento, seguridad y servicios de red. Este tutorial está diseñado para ser detallado, accesible y, sobre todo, para darte el poder de construir una solución robusta que se adapte perfectamente a tus necesidades. Prepárate para zambullirte en el fascinante mundo del enrutamiento basado en software.

¿Por Qué Elegir Linux como Router? 🤔

La pregunta es válida. ¿Por qué pasar por este proceso cuando puedes comprar un router en cualquier tienda? La respuesta es simple: flexibilidad, control y rendimiento. Un router Linux te ofrece:

• Control Total: Tú decides qué paquetes entran, salen y cómo se manejan. Las reglas de firewall son tuyas, la configuración de NAT es tuya, la política de red es tuya.
• Personalización Ilimitada: ¿Necesitas un servidor DHCP, DNS, VPN, un servidor proxy o incluso un sistema de detección de intrusiones (IDS/IPS)? Todo es posible, y generalmente con software de código abierto.
• Rendimiento Optimizado: Con un hardware adecuado, un router Linux puede superar a muchos routers comerciales en términos de rendimiento de red, especialmente en escenarios de alto tráfico o con múltiples servicios activados.
• Coste-Efectividad: Puedes reutilizar hardware antiguo o adquirir componentes de bajo coste, convirtiendo una inversión modesta en una solución de red de nivel empresarial.
• Aprendizaje Constante: Es una oportunidad increíble para profundizar tus conocimientos sobre redes y sistemas operativos.

Este artículo te guiará paso a paso para configurar tu sistema Linux con tres interfaces de red, cada una cumpliendo un propósito específico: una para la conexión a Internet (WAN), otra para tu red interna principal (LAN) y una tercera para una red segmentada, como una DMZ, una red de invitados o para dispositivos IoT (Internet of Things). ¡Vamos a ello!

Requisitos Previos: La Base de Tu Proyecto 🛠️

Antes de empezar, asegúrate de tener lo siguiente:

• Hardware: Un PC (puede ser un mini PC, una Raspberry Pi 4 con un adaptador USB a Ethernet, o un ordenador de sobremesa/servidor antiguo) con al menos tres puertos Ethernet. La calidad de las tarjetas de red influirá en el rendimiento.
• Software: Una distribución de Linux instalada. Para este tutorial, usaremos ejemplos basados en Debian/Ubuntu Server, que son muy populares y bien documentados. Se recomienda una instalación mínima sin entorno gráfico para optimizar los recursos.
• Conocimientos Básicos: Familiaridad con la línea de comandos de Linux y conceptos de red como direcciones IP, subredes y puertas de enlace.
• Conexión a Internet: Necesitarás acceso a Internet para descargar paquetes y actualizaciones.
• Paciencia y Ganas de Aprender: Esto no es un botón mágico, pero los resultados valdrán la pena.

Planificación de la Topología de Red: Diseñando Tu Casa Digital 🏠

Una buena planificación es clave. Aquí te presentamos la topología que configuraremos:

• 🌐 Interfaz WAN (ej. eth0): Esta será tu conexión a Internet. Puede obtener una dirección IP dinámica a través de DHCP de tu proveedor de servicios de Internet (ISP) o tener una IP estática.
• 🏠 Interfaz LAN (ej. eth1): Esta es tu red interna principal, donde se conectarán tus ordenadores, impresoras y otros dispositivos de confianza. Le asignaremos una dirección IP estática que servirá como puerta de enlace para esta red.
• 🛡️ Interfaz DMZ/Invitados/IoT (ej. eth2): Esta interfaz proporcionará una red segmentada y aislada. Es ideal para servidores que necesitan acceso público (DMZ), dispositivos de invitados que no deberían acceder a tu red principal, o dispositivos IoT que podrían ser vulnerables. También le asignaremos una dirección IP estática.

Ejemplo de Planificación de Direcciones IP:

• WAN: DHCP (proporcionado por tu ISP) o una IP estática de tu proveedor.
• LAN: 192.168.1.1/24 (tu router será 192.168.1.1, los clientes obtendrán IPs como 192.168.1.X).
• DMZ/Invitados/IoT: 192.168.10.1/24 (tu router será 192.168.10.1, los clientes obtendrán IPs como 192.168.10.X).

Paso 1: Instalación del Sistema Linux y Actualizaciones Iniciales 💻

Si aún no lo has hecho, instala tu distribución Linux preferida. Como mencionamos, una versión de servidor minimalista es lo ideal. Una vez instalada, asegúrate de que el sistema esté completamente actualizado:

sudo apt update && sudo apt upgrade -y

También es buena idea instalar algunas herramientas útiles si no las tienes:

sudo apt install net-tools iproute2 curl wget vim -y

Paso 2: Identificar y Renombrar Interfaces de Red (Opcional, pero Recomendado) 🏷️

Es crucial saber qué interfaz física corresponde a cada nombre lógico (eth0, eth1, etc.). Puedes usar ip a o ifconfig -a para listar todas las interfaces. A menudo, las interfaces se nombran de forma inconsistente (enpXsY). Para mayor claridad, puedes considerar renombrarlas, aunque para este tutorial asumiremos eth0 (WAN), eth1 (LAN) y eth2 (DMZ).

Puedes identificar cuál es cuál conectando solo una a la vez y viendo cuál aparece, o por la dirección MAC. Consulta la documentación de tu distribución para renombrar interfaces permanentemente si lo deseas (usando `udev` o `netplan` en sistemas más modernos).

Paso 3: Configuración de las Interfaces de Red 🌐

Aquí es donde le damos vida a cada interfaz. En sistemas basados en Debian/Ubuntu modernos, usaremos netplan. Edita el archivo de configuración de Netplan, que usualmente se encuentra en /etc/netplan/ (por ejemplo, 00-installer-config.yaml o 50-cloud-init.yaml). Si no existe, crea uno nuevo, por ejemplo, /etc/netplan/01-router-config.yaml.

💡 Consejo: Asegúrate de que no haya otros archivos de configuración de Netplan en el mismo directorio que puedan entrar en conflicto.

sudo nano /etc/netplan/01-router-config.yaml

Aquí tienes un ejemplo de configuración:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:  # INTERFAZ WAN - CONEXIÓN A INTERNET
      dhcp4: true
      # Si tu ISP requiere una IP estática para la WAN, descomenta y modifica esto:
      # addresses:
      #   - 203.0.113.2/24 # Reemplaza con tu IP WAN real y máscara de subred
      # routes:
      #   - to: default
      #     via: 203.0.113.1 # Reemplaza con la puerta de enlace de tu ISP
      # nameservers:
      #   addresses: [8.8.8.8, 8.8.4.4] # Servidores DNS públicos

    eth1:  # INTERFAZ LAN - RED INTERNA PRINCIPAL
      dhcp4: no
      addresses:
        - 192.168.1.1/24

    eth2:  # INTERFAZ DMZ/INVITADOS/IoT - RED SEGMENTADA
      dhcp4: no
      addresses:
        - 192.168.10.1/24

Después de guardar el archivo, aplica los cambios:

sudo netplan try
sudo netplan apply

Verifica que las interfaces tengan las IPs correctas:

ip a

Habilitar el Reenvío de IP (IP Forwarding) ➡️

Para que tu máquina Linux actúe como router, debe poder reenviar paquetes entre sus interfaces. Habilita esta función:

sudo sysctl -w net.ipv4.ip_forward=1

Para que este cambio sea persistente después de un reinicio, edita el archivo /etc/sysctl.conf:

sudo nano /etc/sysctl.conf

Descomenta o añade la siguiente línea:

net.ipv4.ip_forward=1

Guarda y sal. Aplica los cambios inmediatamente si no lo hiciste antes:

sudo sysctl -p

Paso 4: Configuración de NAT (Network Address Translation) 🎭

La traducción de direcciones de red (NAT) es esencial para que los dispositivos de tus redes internas (LAN y DMZ) puedan acceder a Internet. Utilizaremos iptables para configurar esto. NAT permite que múltiples dispositivos compartan una única dirección IP pública de la interfaz WAN.

Primero, instala el paquete para hacer persistentes las reglas de iptables:

sudo apt install netfilter-persistent iptables-persistent -y

Ahora, añade las reglas de NAT. La regla MASQUERADE es la más común y funciona bien con IPs WAN dinámicas:

# NAT para que LAN y DMZ puedan salir a Internet a través de la interfaz WAN
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Permitir tráfico ESTABLISHED y RELATED de WAN hacia LAN y DMZ (respuestas a conexiones iniciadas)
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Permitir tráfico de LAN y DMZ hacia WAN (iniciar conexiones)
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

Guarda estas reglas para que persistan después de un reinicio:

sudo netfilter-persistent save

Paso 5: Implementación de Reglas Básicas de Firewall (Seguridad) 🔒

Un firewall es la primera línea de defensa de tu red. Por defecto, iptables tiene políticas de ACCEPT. Lo más seguro es cambiar las políticas predeterminadas a DROP y luego permitir explícitamente el tráfico necesario.

⚠️ Advertencia: Si estás conectado vía SSH, ten mucho cuidado al establecer las políticas por defecto. Podrías bloquearte a ti mismo. Asegúrate de tener acceso físico a la máquina o de añadir una regla para SSH *antes* de cambiar las políticas por defecto.

# Establecer políticas por defecto a DROP (DENY ALL)
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT # Permitir que el router acceda a internet

# Permitir todo el tráfico en la interfaz de loopback (esencial para muchas apps)
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

# Permitir tráfico ESTABLISHED y RELATED (respuestas a conexiones salientes)
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Permitir SSH desde la red LAN (192.168.1.0/24) al router
sudo iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

# Permitir ping desde la LAN y DMZ al router
sudo iptables -A INPUT -i eth1 -p icmp -j ACCEPT
sudo iptables -A INPUT -i eth2 -p icmp -j ACCEPT

# --- Reglas de FORWARD para el Firewall ---

# Bloquear tráfico entre LAN y DMZ (aislamiento)
sudo iptables -A FORWARD -i eth1 -o eth2 -j DROP
sudo iptables -A FORWARD -i eth2 -o eth1 -j DROP

# Opcional: Permitir servicios específicos desde DMZ/LAN a Internet si no se permite todo por defecto
# Ejemplo: permitir HTTPS saliente desde DMZ
# sudo iptables -A FORWARD -i eth2 -o eth0 -p tcp --dport 443 -j ACCEPT

# Finalmente, registra y descarta cualquier tráfico que no cumpla las reglas anteriores
sudo iptables -A INPUT -j LOG --log-prefix "IPTABLES_INPUT_DROP: "
sudo iptables -A INPUT -j DROP
sudo iptables -A FORWARD -j LOG --log-prefix "IPTABLES_FORWARD_DROP: "
sudo iptables -A FORWARD -j DROP

Guarda estas reglas:

sudo netfilter-persistent save

„La seguridad de la red no es un destino, sino un viaje continuo. Empieza con un firewall sólido y aprende a adaptarlo a las amenazas cambiantes.”

Paso 6: Servidor DHCP para LAN y DMZ (Opcional, pero Recomendado) ⚙️

Para que los dispositivos de tus redes LAN y DMZ obtengan automáticamente una dirección IP, DNS y puerta de enlace, instala y configura un servidor DHCP.

sudo apt install isc-dhcp-server -y

Edita el archivo de configuración /etc/dhcp/dhcpd.conf:

sudo nano /etc/dhcp/dhcpd.conf

Añade la siguiente configuración para ambas subredes (LAN y DMZ). Asegúrate de que las líneas authoritative; no estén duplicadas y desactiva las declaraciones default-lease-time y max-lease-time si ya existen en la parte superior del archivo para evitar conflictos, o úsalas según tu preferencia.

# Declaración global si no existen en otro lugar
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
authoritative;

# Configuración para la red LAN (eth1)
subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1; # La IP de tu router en la LAN
  option domain-name-servers 8.8.8.8, 8.8.4.4; # Servidores DNS públicos
  option broadcast-address 192.168.1.255;
}

# Configuración para la red DMZ/Invitados/IoT (eth2)
subnet 192.168.10.0 netmask 255.255.255.0 {
  range 192.168.10.100 192.168.10.200;
  option routers 192.168.10.1; # La IP de tu router en la DMZ
  option domain-name-servers 8.8.8.8, 8.8.4.4; # Servidores DNS públicos
  option broadcast-address 192.168.10.255;
}

Luego, especifica en qué interfaces debe escuchar el servidor DHCP. Edita /etc/default/isc-dhcp-server:

sudo nano /etc/default/isc-dhcp-server

Busca la línea INTERFACESv4="" y modifica para incluir tus interfaces internas:

INTERFACESv4="eth1 eth2"

Inicia y habilita el servicio DHCP:

sudo systemctl start isc-dhcp-server
sudo systemctl enable isc-dhcp-server

Paso 7: Servidor DNS (Opcional, e.g., dnsmasq) 📡

Configurar un servidor DNS local como dnsmasq mejora la velocidad de resolución y permite el filtrado. Instálalo:

sudo apt install dnsmasq -y

Edita el archivo de configuración /etc/dnsmasq.conf:

sudo nano /etc/dnsmasq.conf

Asegúrate de que dnsmasq escuche en las interfaces correctas y reenvíe a los DNS públicos:

# Escuchar solo en las interfaces LAN y DMZ
listen-address=127.0.0.1,192.168.1.1,192.168.10.1
bind-interfaces

# No leer /etc/resolv.conf, ya que puede apuntar a sí mismo
no-resolv
# Usar servidores DNS externos
server=8.8.8.8
server=1.1.1.1

# Habilitar DHCP si no usas isc-dhcp-server
# dhcp-range=eth1,192.168.1.100,192.168.1.200,12h
# dhcp-range=eth2,192.168.10.100,192.168.10.200,12h
# option:router,192.168.1.1
# option:router,192.168.10.1

Reinicia el servicio:

sudo systemctl restart dnsmasq
sudo systemctl enable dnsmasq

Paso 8: Pruebas y Verificación ✅

¡Es el momento de la verdad! Conecta un cliente (PC, teléfono) a la red LAN y otro a la red DMZ. Configura sus adaptadores para obtener IP automáticamente (DHCP).

• Verifica que obtengan una dirección IP en el rango correcto.
• Haz ping desde cada cliente a la dirección IP de su puerta de enlace (tu router).
• Haz ping desde cada cliente a una dirección IP externa (ej. 8.8.8.8).
• Intenta acceder a un sitio web desde cada cliente.
• Prueba el aislamiento: Intenta hacer ping desde un cliente de la LAN a un cliente de la DMZ (debería fallar).

# En un cliente de la LAN/DMZ:
ip a
ping 192.168.1.1 # o 192.168.10.1
ping 8.8.8.8
ping google.com

Consideraciones Avanzadas y Personalización Futura 🚀

Ahora que tienes un router Linux funcional, las posibilidades son infinitas:

• Servidor VPN: Implementa OpenVPN o WireGuard para acceder a tu red de forma segura desde el exterior.
• QoS (Quality of Service): Prioriza el tráfico para videollamadas, juegos o streaming.
• IDS/IPS: Instala Suricata o Snort para detectar y prevenir intrusiones.
• Proxy Web: Utiliza Squid para caché web y filtrado de contenido.
• Monitoreo: Herramientas como Zabbix, Prometheus, o simples scripts para mantener un ojo en el rendimiento y la actividad de la red.
• Pi-hole: Para un potente bloqueador de anuncios a nivel de red.

Mi Opinión Basada en Experiencias Reales: ¿Vale la Pena? 🤔💡

Después de haber configurado y mantenido routers basados en Linux durante años, puedo afirmar con total convicción que el esfuerzo inicial se ve recompensado con creces. Si bien la curva de aprendizaje puede ser un poco pronunciada para los recién llegados, la inversión de tiempo se traduce en una comprensión profunda de cómo funciona tu propia red, algo que rara vez se logra con un router comercial „plug-and-play”.

Desde una perspectiva de seguridad, la capacidad de configurar reglas de firewall a medida y la transparencia del código abierto ofrecen una tranquilidad que los dispositivos propietarios a menudo no pueden igualar. No hay „puertas traseras” ocultas ni configuraciones predeterminadas vulnerables que no puedas revisar y modificar. He visto routers comerciales con actualizaciones de firmware que rompían funcionalidades o que dejaban de recibir soporte de seguridad a los pocos años. Con Linux, tú eres el dueño del software y, con una comunidad global de desarrolladores, las vulnerabilidades se suelen abordar con rapidez.

En cuanto al rendimiento, un hardware de PC con Linux bien configurado puede manejar volúmenes de tráfico y un número de conexiones mucho mayores que la mayoría de los routers domésticos de gama media. Para entornos con múltiples dispositivos IoT, streaming 4K, o teletrabajo intensivo, la estabilidad y la capacidad de procesamiento de un router Linux son incomparables. Los datos de rendimiento de benchmarks de varios blogs tecnológicos y sitios especializados en redes suelen mostrar que un PC de bajo consumo (como un viejo thin client o mini-PC) supera en rendimiento de routing puro a soluciones mucho más caras, especialmente cuando se trata de gestionar múltiples VPNs o reglas de firewall complejas.

Por supuesto, no todo es perfecto. Requiere un mayor grado de mantenimiento y conocimiento técnico. No hay un „soporte técnico 24/7” más allá de la comunidad. Sin embargo, para cualquiera con la voluntad de aprender, es una de las decisiones más gratificantes que puede tomar para su infraestructura de red.

Conclusión: Tu Red, Tus Reglas ✨

¡Felicidades! Has llegado al final de este tutorial y ahora deberías tener un router Linux funcional con tres interfaces de red. Has dado un paso gigante hacia la independencia y el control de tu infraestructura digital. Esto no es solo un router; es una plataforma para la innovación, la seguridad y el aprendizaje constante.

Recuerda que este es solo el comienzo. El mundo de Linux y las redes es vasto y emocionante. Sigue explorando, experimentando y personalizando tu nuevo router para que se adapte perfectamente a tu visión de una red conectada y segura. ¡El poder está ahora en tus manos! 💪