Firewall Mikrotik Explicando Reglas Detalladas para Bloqueos de Servicios

Firewall Mikrotik  

El Firewall Mikrotik  implementa el filtrado de paquetes y por lo tanto proporciona funciones de seguridad que se utilizan para gestionar el flujo de datos hacia, desde y a través del router. Junto con la traducción de direcciones de red que sirve como una herramienta para prevenir el acceso no autorizado a las redes directamente conectados y el propio router, así como un filtro para el tráfico saliente.

Al crear una regla en firewall de cualquier tipo, hay una cadena de caracteres la cual se divide en forward, input y output.

Forward: Tráfico que pasa a través del Router, desde la WAN a la LAN.

Input: Todo el tráfico que va directo a nuestro router, como por ejemplo el winbox desde una red WAN.

Output: Todo el Tráfico desde la LAN hacia la WAN.

Podemos crear uno o varios grupos de usuarios en la sección de Adress List para filtrar según la necesidad que se tenga para tal grupo de usuarios, por ejemplo: Administradores, Bloqueados, Secretaria, etc.

Luego de crear los grupos, podemos asignar reglas de bloqueo o permisos para ellos.

Las reglas podrían ser bloqueos de Internet, bloqueo a paginas especificas, por horarios, bloqueo de servicios como Whatsapp, Facebook o cualquier otra red social entre otros.

También podemos bloquear por puertos como puede ser el 80 para la navegación el 443 para las paginas con https o puertos UDP y TCP.

Podemos segurizar nuestro RB a través de bloqueos de puertos como el 21, 8291 y cualquier servicio activo dentro del router de mikrotik y también podemos bloquear servicios P2p.

En esta oportunidad mostraremos algunos ejemplos con detalles para bloquear servicios dentro de la red.

Script de reglas aplicadas: http://adf.ly/1h7XlG
Winbox Versión 3.7: http://adf.ly/1grCaP

Basic universal firewall script. HANDS ON! First we need to create our ADDRESS LIST with all IPs we will use most times Below you need to change x.x.x.x/x for your technical subnet. This subnet will have full access to the router.

/ip firewall address-list add address=10.0.10.1/30 disabled=no list=support

Now we have protection against: SynFlood, ICMP Flood, Port Scan, Email Spam and much more. For more information read the comments.

ip firewall filter
    
    /ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=
    tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=accept chain=input comment="Allows access to winbox from the WAN  # DO NOT ENABLE THIS RULE IF YOU DO NOT WANT TO ACCESS FROM THE INTERNET" disabled=yes 
    dst-port=8291 in-interface="ISP ether10" protocol=tcp
add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" 
    disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established
add action=accept chain=input comment="Accept to related connections" connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" disabled=yes
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp

Si te quedo alguna duda no lo pienses mas y visita Nuestro Foro, suscribete y podrás dejarnos tus preguntas donde con gusto estaremos respondiendo todas tus dudas.

Si quieres seguir aprendiendo sobre Routers lee nuestros artículos y conviértete en un experto aquí.

Acerca de admin 18 Articles
Especialista en redes de Internet, posicionamiento SEO y tecnología de Seguridad Integral. Brindo para ti mis conocimientos permitiendo el aumento de la información mediante el servicio de Internet a nivel mundial.

3 Comments

    • Primero puedes crear un grupo con el cual puedes tener los usuarios que quieres limitar, esto lo haces en la sección Adress List de Firewall al que puedes llamar (Bloqueados), luego puedes crear una lista de las paginas que deseas bloquear en la sección otra lista en adress list pero esta vez de las paginas que desees bloquear o permitir por ejemplo Facebook.. Ahora crea la regla en Firewall Filter Rules y en la pestaña de avanzado donde dice Content alli agregas las paginas que quieres permitir. Si quieres puedes plantear el caso en el foro y te explicare a detalle como hacerlo

Leave a Reply

Tu dirección de correo no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.