Mikrotik filtrado capa 7

Mikrotik filtrado capa 7En anteriores entradas hemos comentado la manera de restringir el tráfico tanto de entrada como de salida así cómo el tráfico dirigido a nuestro equipo Mikrotik. La utilización de reglas de filtrado en capa 3 tiene una doble función, por un lado optimizar el uso del ancho de banda de nuestra conexión a Internet mientras que por el otro aumentamos la seguridad de nuestra red no permitiendo la entrada o salida de protocolos no autorizados.

Sin embargo, a la hora de filtrar el tráfico de salida muchas veces nos encontramos con que las reglas en capa 3 son muy sencillas pero quizás no son todo lo potentes que nosotros quisiéramos. Por ejemplo, si permitimos el tráfico desde nuestra LAN con una regla forward a cualquier destino con puerto 80 estamos permitiendo cualquier conexión con destino puerto 80. ¿Qué pasa entonces si queremos restringir el acceso a Youtube, Dropbox o webs de redes sociales? En ese caso debemos utilizar el filtrado en capa 7, es decir, filtrar en la capa de aplicación.

Nuestro Mikrotik tiene capacidad para aplicar filtrado capa 7. Esto significa que podemos ir más allá de un puerto y filtrar el acceso a determinadas webs.

Imaginemos que queremos restringir el acceso a Youtube.com. Para ello podríamos usar la siguiente configuración:

ip firewall layer7-protocol

add name=Youtube regexp=^.+(youtube).*$

ip firewall filter

add chain=forward action=drop src-address=192.168.88.0/24 layer7-protocol=Youtube

Si os parece una medida un poco drástica siempre podemos utilizar las queues para, si bien no filtrar, al menos limitar el ancho de banda consumido por este tipo de aplicaciones. En un próximo post hablaremos de ello.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

1 comentario en “Mikrotik filtrado capa 7

  1. fernando

    Hola y si quisieramos que solo pudieran abrir un solo youtube por maquina conectada y hacer dropear las siguientes conexiones, se podría?, te dejo solo una pero no más de una sería la consigna

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *