Archivo de la categoría: Redes e Internet

Mikrotik Firewall Rules

Siempre me ha fascinado la versatilidad de los equipos Mikrotik. De hecho, dicha versatilidad hace que podamos utilizarlos en los escenarios más dispares. Hoy me gustaría profundizar un poco sobre la configuración de las reglas del firewall o las Mikrotik Firewall Rules.

La mayoría de las ocasiones, cuando hablamos de firewall hacemos referencia a restringir el tráfico procedente de internet hacia el interior de nuestra red. Sin embargo, tanto o más importante es restringir el tráfico que sale de nuestra red. A fin de cuentas, estamos hablando de ancho de banda, un ancho de banda limitado en la mayoría de las ocasiones, y no debemos malgastar bytes en tráfico no necesario.

Las reglas de filtrado en Mikrotik se dividen en tres categorías: input, forward y output. las reglas del tipo input hacen referencia al tráfico que tiene por destino nuestro router Mikrotik. Las reglas del tipo forward afectan al tráfico que cruza nuestro router y finalmente las reglas del tipo output afecta al tráfico que sale de nuestro router Mikrotik.

Así pues, si quisiéramos limitar el acceso al puerto 80 de nuestro Mikrotik a una determinada ip utilizaríamos la la siguiente regla:

ip firewall filter

add chain=input action=accept protocol=tcp src-address=192.168.0.100 dst-port=80

add chain=input action=drop

Por otro lado, podemos utilizar la funcionalidad de la cadena forward para restringir el acceso a determinados protocolos o ips desde nuestra LAN hacia Internet. Por ejemplo podríamos crear las siguientes reglas para permitir el acceso a internet sólo de los siguientes puertos: 80 (http), 443 (https), 25 (smtp), 110 (pop3) y 143 (imap):

ip firewall filter

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=80

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=443

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=25

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=110

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=143

add chain=forward action=drop src-address=192.168.0.0/24

Finalmente las reglas que afectan al tráfico saliente con del propio Mikrotik pueden ser filtradas desde la cadena output y limitan el acceso a Internet o a la LAN desde el propio Mikrotik. Hay que tener en cuenta que una modificación errónea en la cadena output puede dejarnos sin acceso a nuestro equipo. No olvides activar el modo safe. Un ejemplo para permitir sólo el tráfico DNS desde nuestro equipo mikrotik sería:

ip firewall filter

add chain=output action=accept protocol=tcp dst-port=56

add chain=output action=drop

A la hora de establecer reglas de filtrado es importante no olvidar que debemos filtrar el tráfico que puede llegarnos a través de nuestros interfaces públicos como el tráfico saliente de nuestra red.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

Google permite borrar tus datos personales.

Deja un comentario

Un derecho que los ciudadanos estamos pasando por alto en los últimos años es el derecho a la intimidad. Desde la aparición de las redes sociales los individuos de nuestra sociedad arden en deseos de compartir con el mundo sus fotografías, sus viajes, lo que comen o dónde salen de fiesta.

Estas redes sociales nacen para satisfacer una de las necesidades más básicas de la especie humana: “La comunicación”. Apoyadas en dicha necesidad estos gigantes utilizan nuestros datos para conocernos mejor, crean perfiles de usuarios en función de nuestros gustos o factores demográficos y geográficos. Conocernos mejor para vendernos mejor.

¿Has probado a buscar tu nombre en google? seguro que si. Posiblemente aparezcas en alguna foto, en alguna red social o en algún listado público como el B.O.E. Si esto es así quizás puedas sentirte “orgulloso” porque la red te conoce. Sin embargo, imagínate que google te conoce, que muestra resultados cuando introduces tu nombre en el buscador pero lo que ves no te parece correcto. ¿Qué podemos hacer entonces? Recuerda que Internet tiene una gran memoria, incluso hay sitios destinados a visitar y archivas todas las páginas y su contenido (archive.org). Recuerda que subir una imagen o información a Internet es muy sencillo pero que, una vez es publicada, pierdes totalmente el control sobre dicha información.

Afortunadamente, a partir de una sentencia del Tribunal de Justicia de la Unión Europea Google permite borrar tus datos personales mediante un formulario. Claro que no nos resultará tan sencillo dado que, el formulario sólo es un primer paso en esta odisea de borrar tus datos de Internet o al menos de los resultados de Google.

Se cuentan por cientos las personas que están haciendo uso de dicho formulario para eliminar su rastro del famoso buscador.

Desde este blog te animo a ejercer tus derechos y a recuperar tu anonimato en Internet. Por otro lado si tienes alguna experiencia en este sentido no dudes en compartirla ya que podría ser de gran utilidad a otras personas que se encuentren en tu misma situación.

Priorizar voip en Mikrotik.

8 respuestas

Mikrotik priorizar tráfico

A la hora de repartir el ancho de banda de una conexión solemos utilizar reglas en capa 3, es decir, usamos parámetros tales como dirección ip de origen, puerto de destino, etc. Para priorizar voip en Mikrotik solemos crear reglas con las ips de origen y destino o bien, tratar de priorizar en capa 2 a través de vlans. Sin embargo, esta forma de garantizar el ancho de banda de determinado tipo de tráfico es poco elegante. A continuación voy a mostrar un ejemplo para priorizar el tráfico de cualquier tipo de protocolo que implemente TOS en la cabecera ip.

El TOS es el campo de tipo de servicio (ToS) en la cabecera de IPv4 (ahora sustituida por DiffServ). Es decir, un valor que es incluido en la cabecera ip en función del tipo de protocolo cuya función es distinguir a dichos paquetes del resto a la hora de aplicar QoS.

Algunos valores del TOS son conocidos por ejemplo el del protocolo SIP o RTP (TOS 46), sin embargo, en algunos casos no sabremos qué valor del TOS está marcando el protocolo que queremos priorizar. Para ello, echar mano de una captura de tráfico nos será de gran utilidad a la hora de desvelar este valor. Dicha captura podremos realizarla desde nuestro equipo Mikrotik desde el apartado: tools > Packt Sniffer

Como se puede observar en la captura realizada durante una llamada, en la cabecera ip aparece el valor del TOS como 46. Por lo tanto, serán los paquetes que lleven ese valor los que deben ser priorizados. Para ello crearemos la siguiente regla:

ip firewall mangle

chain=forward action=set-priority new-priority=8 passthrough=no dscp=46

Una vez creada podremos ver como durante una llamada los paquetes marcados con TOS 46 caen en la regla y aparecen en las estadísticas como se puede observar en la imagen siguiente:

Cuando Apple igualó a Windows.

Deja un comentario

Para muchos, el título de esta entrada podría resultar apocalíptico. Si a Steve Ballmer o al mismísimo Bill Gates le hubieran dicho hace 10 años que llegaría un día en el que el número de dispositivos que usan sistemas operativos de Apple iba a igualar al número de dispositivos que utilizan Windows seguramente lo hubieran considerado como poco probable. Pues bien ese día, según los sitios especializados en el mundo Apple, está próximo a llegar.

El caso es que, según las últimas estadísticas, nos acercamos a un punto de inflexión en el que con total seguridad la tendencia de estos 30 años se va a invertir y por primera vez en la historia se van a vender más dispositivos que usan IOS y MAC OS que Windows en todas sus modalidades.

Sin embargo, esta afirmación es sólo cierta a medias y vamos a explicar el porqué. Por un lado, las ventas totales de PCs están disminuyendo gracias a la proliferación de dispositivos móviles como las tablets. Este descenso en las ventas de equipos sobremesa y portátiles afecta, no sólo a los PCs, sino también a los MACs. Por otro lado, a la hora de sumar ventas de dispositivos se están metiendo en el mismo saco Iphones, Ipods, Ipads, etc. Esto provoca que la suma de dispositivos Apple vendidos se aproxime a las ventas de PCs y tablets que integran sistemas operativos de Microsoft.

Pero.. ¿Tiene el mismo valor un Ipod Touch que una tablet o un pc? ¿Qué pasaría si contáramos con los millones de Xbox que Microsoft vende? al fin y al cabo son desarrolladas por la misma empresa que desarrolla Windows. Creo sinceramente que los datos se han exagerado con la intención de crear un titular sensacionalista. Quizás la caía en el valor de las acciones de Apple o la proximidad de los resultados del primer trimestre tenga algo que ver en este tipo de noticias.

Fuente: Asymco

Mikrotik SXT – Optimiza enlaces Punto a Punto.

20 respuestas

Mikrotik SXT Enlaces Punto a Punto

Hace algún tiempo dejé en el blog una entrada en la que se mostraba como configurar un enlace wifi punto a punto con un par de antenas Mikrotik SXT. En esta ocasión vamos a ir un paso más allá y vamos a optimizar dicho enlace para sacarle el máximo rendimiento.

Una vez configurado nuestro enlace punto a punto podemos medir la capacidad del mismo utilizando la funcionalidad de Tools > Bandwidth Test. A través de ella podremos saturar nuestro enlace para determinar su capacidad.

Mikrotik SXT Bad Bandwidth Test

En esta imagen podemos ver, a la luz de los resultados del test, que nuestro enlace Mikrotik SXT no anda muy fino. Por un lado, la capacidad del enlace es asimétrica y no alcanza una tasa de transferencia alta. Por el otro, hay una gran cantidad de paquetes perdidos lo cual no nos augura nada bueno.

Uno de los aspectos que afectan de forma importante a la calidad de nuestro enlace en el nivel de Señal Tx/Rx. Para optimizar nuestro enlace punto a punto los niveles de señal Tx/Rx deberían de situarse entre -45 Db y -60 Db en ambos sentidos.

Mikrotik SXT nivel de señal punto a punto

Para lograr mejorar los niveles de señal tendremos que que manipular los niveles de potencia de las antenas para, de esta forma, aumentar o disminuir la potencia de emisión. En este enlace la distancia apenas alcanza los 200 metros por lo que los Mikrotik SXT se están gritando lo cual provoca distorsión en las señales.

Comenzando siempre por el equipo más lejano modificamos la potencia de las antenas atenuándolas en ambos puntos. De esta forma se obtiene una señal más estable.

Nivel de señal optimizado

Finalmente, una vez que hemos optimizado el nivel de señal vamos a realizar un ajuste un poco más fino modificando los intervalos de guarda. El propósito de estos intervalos es inmunizar nuestro enlace frente a los retardos, ecos y reflexiones de propagación. Dichos intervalos deben de ser modificados en ambos extremos del enlace. Para ello siempre comenzaremos por el más lejano.

Mikrotik SXT configuración de los intervalos de guarda

Finalmente, una vez ajustados los nuevos parámetros procedemos a realizar un nuevo Bandwidth Test el cual nos muestra los siguientes resultados:

Mikrotik SXT resultados óptimos

Como habéis podido comprobar, es posible optimizar tu enlace Mikrotik SXT punto a punto para obtener el máximo rendimiento. No obstante, cuando hablamos de enlaces inalámbricos, la optimización es una labor constante ya que nuevos factores externos pueden dar al traste con nuestras señales.

Juan Manuel Nogueira Blog

Un Blog sobre Sistemas de la Información