Siempre me ha fascinado la versatilidad de los equipos Mikrotik. De hecho, dicha versatilidad hace que podamos utilizarlos en los escenarios más dispares. Hoy me gustaría profundizar un poco sobre la configuración de las reglas del firewall o las Mikrotik Firewall Rules.
La mayoría de las ocasiones, cuando hablamos de firewall hacemos referencia a restringir el tráfico procedente de internet hacia el interior de nuestra red. Sin embargo, tanto o más importante es restringir el tráfico que sale de nuestra red. A fin de cuentas, estamos hablando de ancho de banda, un ancho de banda limitado en la mayoría de las ocasiones, y no debemos malgastar bytes en tráfico no necesario.
Las reglas de filtrado en Mikrotik se dividen en tres categorías: input, forward y output. las reglas del tipo input hacen referencia al tráfico que tiene por destino nuestro router Mikrotik. Las reglas del tipo forward afectan al tráfico que cruza nuestro router y finalmente las reglas del tipo output afecta al tráfico que sale de nuestro router Mikrotik.
Así pues, si quisiéramos limitar el acceso al puerto 80 de nuestro Mikrotik a una determinada ip utilizaríamos la la siguiente regla:
ip firewall filter
add chain=input action=accept protocol=tcp src-address=192.168.0.100 dst-port=80
add chain=input action=drop
Por otro lado, podemos utilizar la funcionalidad de la cadena forward para restringir el acceso a determinados protocolos o ips desde nuestra LAN hacia Internet. Por ejemplo podríamos crear las siguientes reglas para permitir el acceso a internet sólo de los siguientes puertos: 80 (http), 443 (https), 25 (smtp), 110 (pop3) y 143 (imap):
ip firewall filter
add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=80
add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=443
add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=25
add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=110
add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=143
add chain=forward action=drop src-address=192.168.0.0/24
Finalmente las reglas que afectan al tráfico saliente con del propio Mikrotik pueden ser filtradas desde la cadena output y limitan el acceso a Internet o a la LAN desde el propio Mikrotik. Hay que tener en cuenta que una modificación errónea en la cadena output puede dejarnos sin acceso a nuestro equipo. No olvides activar el modo safe. Un ejemplo para permitir sólo el tráfico DNS desde nuestro equipo mikrotik sería:
ip firewall filter
add chain=output action=accept protocol=tcp dst-port=56
add chain=output action=drop
A la hora de establecer reglas de filtrado es importante no olvidar que debemos filtrar el tráfico que puede llegarnos a través de nuestros interfaces públicos como el tráfico saliente de nuestra red.
¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento
Saludos.
Agradecer la disponibilidad que hay detrás de estas aportaciones y felicitar al autor.
Quiero también, si ánimo de abusar de la oportunidad que nos brinda el dejar un comentario, solicitar orientación sobre documentación a consultar a la hora de hacer que un router mikrotik permita la gestión de un servidor que tiene servicios de páginas web y correo. Concreto la pregunta: ¿qué parámetros debo de configurar para hacer que una llamada a http://www.miservidor.com (por ejemplo) que está alojado en una máquina dentro de mi LAN realizada desde internet alcance el servidor correspondiente? Gracias de antemano por la atención dispensada a este mensaje.
Buenas,
Te pongo un ejemplo:
/ip firewall nat
chain=dstnat action=dst-nat to-address=X.X.X.X to-ports=80 protocol=tcp src-address=any dst-port=80
Saludos.
Agradecer la disponibilidad que hay detrás de estas aportaciones y felicitar al autor.
Quiero también, sin ánimo de abusar de la oportunidad que nos brinda el dejar un comentario, solicitar orientación sobre documentación a consultar a la hora de hacer que un router mikrotik permita la gestión de un servidor que tiene servicios de páginas web y correo. Concreto la pregunta: ¿qué parámetros debo de configurar para hacer que una llamada a http://www.miservidor.com (por ejemplo) que está alojado en una máquina dentro de mi LAN realizada desde internet alcance el servidor correspondiente? Gracias de antemano por la atención dispensada a este mensaje.
Hola, quisiera bloquear el puerto 445 SMB en mi router Mikrotik, entiendo por lo publicado que seria de la siguiente forma?
ip firewall filter
add chain=forward action=drop protocol=tcp src-port=445
Si esta mal, por favor quisiera saber la forma correcta.
Saludos!
Buenas,
Si lo que quieres es que ese tráfico no traspase el router es correcto. Yo añadiría el interface de entrada.
Pero si lo que quieres es bloquear ese puerto en el Mikrotik deberías cambiar la regla de forward a input.
Saludos.