Mikrotik Firewall Rules

Mikrotik Firewall RulesSiempre me ha fascinado la versatilidad de los equipos Mikrotik. De hecho, dicha versatilidad hace que podamos utilizarlos en los escenarios más dispares. Hoy me gustaría profundizar un poco sobre la configuración de las reglas del firewall o las Mikrotik Firewall Rules.

La mayoría de las ocasiones, cuando hablamos de firewall hacemos referencia a restringir el tráfico procedente de internet hacia el interior de nuestra red. Sin embargo, tanto o más importante es restringir el tráfico que sale de nuestra red. A fin de cuentas, estamos hablando de ancho de banda, un ancho de banda limitado en la mayoría de las ocasiones, y no debemos malgastar bytes en tráfico no necesario.

Las reglas de filtrado en Mikrotik se dividen en tres categorías: input, forward y output. las reglas del tipo input hacen referencia al tráfico que tiene por destino nuestro router Mikrotik. Las reglas del tipo forward afectan al tráfico que cruza nuestro router y finalmente las reglas del tipo output afecta al tráfico que sale de nuestro router Mikrotik.

Así pues, si quisiéramos limitar el acceso al puerto 80 de nuestro Mikrotik a una determinada ip utilizaríamos la la siguiente regla:

ip firewall filter

add chain=input action=accept protocol=tcp src-address=192.168.0.100 dst-port=80

add chain=input action=drop

Por otro lado, podemos utilizar la funcionalidad de la cadena forward para restringir el acceso a determinados protocolos o ips desde nuestra LAN hacia Internet. Por ejemplo podríamos crear las siguientes reglas para permitir el acceso a internet sólo de los siguientes puertos: 80 (http), 443 (https), 25 (smtp), 110 (pop3) y 143 (imap):

ip firewall filter

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=80

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=443

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=25

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=110

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=143

add chain=forward action=drop src-address=192.168.0.0/24

Finalmente las reglas que afectan al tráfico saliente con del propio Mikrotik pueden ser filtradas desde la cadena output y limitan el acceso a Internet o a la LAN desde el propio Mikrotik. Hay que tener en cuenta que una modificación errónea en la cadena output puede dejarnos sin acceso a nuestro equipo. No olvides activar el modo safe. Un ejemplo para permitir sólo el tráfico DNS desde nuestro equipo mikrotik sería:

ip firewall filter

add chain=output action=accept protocol=tcp dst-port=56

add chain=output action=drop

A la hora de establecer reglas de filtrado es importante no olvidar que debemos filtrar el tráfico que puede llegarnos a través de nuestros interfaces públicos como el tráfico saliente de nuestra red.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Restaurando un Macintosh HD 40SC

HS SCSI 40SCHace tiempo que tenía ganas de echarle en guante a una de estas unidades. Se trata de una unidad SCSI diseñada para dotar de almacenamiento a equipos como el Macintosh 512k o el Macintosh Plush. Sin embargo, este Macintosh HD 40SC podía usarse en equipos posteriores como el Macintosh SE/30 o la serie LC.

Lo más complicado es este tipo de unidades es que el disco duro funcione. Por suerte en este unidad el disco duro se encontraba en un excelente estado de forma por lo que me animé a restaurarla.

Primeramente hay que decir que esta unidad tiene aproximadamente 25 años por lo que su aspecto tanto externo como interno era el normal para su edad.

Detalle del interior.

Detalle del interior.

Interior del Macintosh HD 40SC

Interior del Macintosh HD 40SC

Una vez desmontado y limpio revisamos la fuente de alimentación. Esta fuente fabricada por SONY tiene dos voltajes de salida +5v y +12v. Para alargar la vida de nuestro disco es fundamental que estos voltajes estén lo más próximo posible a esos valores por lo que procedemos a calibrar la fuente de alimentación.

Ajustamos la línea de 12v Ajustamos la línea de +5v

 

 

 

 

 

 

 

Mientras la caja se blanqueaba al sol con retrobright he ido puliendo los herrajes internos para que recuperen su lustre. Cualquier pulimento para metal nos servirá para dicho cometido, en la mayoría de los casos, un limpiador de metales puede dejar también muy buenos resultados.

Devolviendo el color al HD 40SC

En esta imagen se aprecia perfectamente la diferencia de color entre la parte inferior, siempre a oscuras, y el frontal. Hay que recordar que el plástico que utilizaban en los 80s y 90s para los ordenadores tendía a amarillearse en contacto con la luz solar. Gracias al retrobright volveremos a ver su color original.

Aquí os muestro unas imágenes del resultado final. Espero que os haya gustado el proceso de restauración. Finalmente si alguien está interesado en adquirir este magnífico Macintosh HD 40SC puede pujar en eBay a partir de 1€.

Interior restaurado Resultado Final
 

 

 

 

 

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Trunk SIP GrandStream y CISCO

Trunk SIP CISCO GrandStreamEn anteriores entradas he comentado la necesidad de encontrar soluciones compatibles que se integren en un entorno ya existente de voip  CISCO. Principalmente necesitaremos que ambas soluciones coexistan en nuestro entorno de forma transparente, es decir, que las extensiones registradas por uno y otro lado puedan comunicarse utilizando una numeración interna. Esta integración se realiza a través de un enlace TRUNK entre ambos dispositivos.

En este caso, como ya comenté en un artículo anterior, vamos a utilizar una centralita GrandStream la cual vamos a interconectar a nuestra solución CISCO UC560 a través de un TRUNK SIP.

Primeramente debemos asegurarnos de que nuestras centralitas son visibles a nivel ip. Recuerda que es recomendable utilizar líneas dedicadas, conexiones VPN o e su defecto unir las sedes a través de MPLS. No es recomendable publicar servicios SIP en internet a menos que sepas cómo restringir el tráfico que puede alcanzar a tus equipos. Una vez verificada la conexión comenzamos por la GrandStream. Para ello accedemos al apartado PBX > Troncales Voip > Crear nueva troncal SIP/AIX. En este apartado tan sólo debemos configurar la ip de la centralita destino y seleccionar los codecs que estarán disponibles para negociar a la hora de establecer la comunicación.

Configurar Trunk sip GrandStream

A continuación debemos establecer una ruta saliente que utilice dicho Trunk Sip con el pattern correcto.  De esta forma, cuando el número llamado coincida con dicho patrón la llamada será enrutada hacia el destino utilizando el Trunk SIP.

Por otro lado, en nuestra CISCO UC560 debemos establecer un trunk SIP a través de la creación de un dial-peer que enrute las llamadas hacia la centralita GrandStream.

dial-peer voice 10003 voip
description SIP_TO_GRANDSTREAM
destination-pattern 5..
voice-class codec 1
session protocol sipv2
session target ipv4:192.168.30.10
dtmf-relay rtp-nte
no vad

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mac Os Maverick y SMB2

Mac Os Mavericks SMB errorUno de los cambios que trajo consigo Mac Os Maverick fue la implementación del protocolo SMB2 para el acceso a carpetas compartidas que utilicen el protocolo SMB (Server Message Block). Este protocolo es usado por todas las versiones de Microsoft Windows desde Windows 2000 y en la mayoría, por no decir en todos, los NAS que podemos adquirir actualmente.

Si bien es cierto que el protocolo SMB2 fue introducido por Microsoft en 2006 con Windows Vista no es menos cierto que, hasta la aceptación por parte del público de Windows 7 ha sido un protocolo que ha pasado de forma irrelevante por nuestras redes mayormente porque, mientras que hemos tenido que garantizar la compatibilidad con Windows Xp, los niveles de funcionalidad de nuestros dominios han estado en el nivel Windows 2003 Server.

Sin embargo, con la aparición de SMB3 con Windows 2012 y el anuncio por parte de Microsoft de retirar el soporte a Windows Xp parece lógico que Mavericks utilice SMB2 como el protocolo por defecto para conectarse a carpetas compartidas.

Una vez dicho esto ¿podemos habilitar la compatibilidad con versiones anteriores del protocolo SMB en Mavericks? la respuesta es si. Podemos modificar el archivo de configuración del cliente SMB de Mavericks para que utilice SMBv1 por defecto. Para ello debemos ejecutar la siguiente línea:

sudo echo "[default]" >> ~/Library/Preferences/nsmb.conf; echo "smb_neg=smb1_only" >> ~/Library/Preferences/nsmb.conf

Para volver a la configuración por defecto sólo debemos eliminar el archivo

sudo rm ~/Library/Preferences/nsmb.conf

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Maczana – Blog sobre el Universo Apple

colaborador en MaczanaTod@s aquellos que seguís mi blog conocéis de primera mano mi afición por el mundo Apple. Eso ha provocado la publicación de muchos artículos sobre el mundo Apple Vintage que, si bien guarda alguna relación con los Sistemas de la Información, no encajan demasiado bien con la temática principal del blog.

Sin embargo, dicha afición me ha brindado la oportunidad de comenzar a colaborar con un blog que hoy os quiero presentar llamado Maczana. Creo que, en dicho blog, los artículos sobre Apple tendrán una mejor cabida. Todos aquell@s que seguís mi blog a partir de ahora encontraréis más artículos relacionados con la temática principal del blog aunque no descarto caer en la tentación de publicar algún artículo de vez en cuanto relacionado con esta temática.

Muchas gracias.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento