Firewall Mikrotik – Introducción, y configuraciones básicas

Bienvenidos nuevamente a mi sección de Mikrotik

En esta oportunidad  voy a comentarles un poco cómo funciona el firewall de Mikrotik.

El firewall de RouterOs implementa un filtrado de paquetes que proporciona funciones de seguridad que se utilizan para administrar el flujo de datos hacia, desde y a través del router.

Correctamente configurado desempeña un papel clave en la implementación de una infraestructura de red eficiente y segura. El firewall de RouterOs tiene características muy potente, les voy a explicar algunas de las más comunes para mantener su Router seguro.

Chains o Cadenas

Por defecto RouterOs, trae tres chain predefinidas a saber:

• INPUT: Es utilizada para marcar todos los paquetes que tiene como destino el router. Ejemplo:

Supongamos que tenemos:

WAN 1 = 2.2.2.2

Queremos evitar que nos hagan ping colocamos el siguiente comando: /ip firewall filter add chain=input protocol=icmp action=drop in-interface=»1 – ADSL»

• FORWARD:  Es utilizada para marcar todos los paquetes que pasan a través del router, es decir son todos los paquetes que van con destino a nuestra LAN. Ejemplo:

Vamos a bloquear youtube y facebook utilizando esta chain en toda la LAN.

Primero vamos a crear LAYER7 para facebook y youtube

/ip firewall layer7-protocol add name=Youtube regexp=»^.*(Youtube.com).*\$»

/ip firewall layer7-protocol add name=Facebook regexp=»^.*(Facebook.com).*\$»

Podemos seguir agregando dominios de la siguiente manera (Facebook.com|Youtube.com) y así lo podemos tener en una sola sentencia.

Ahora, lo bloqueamos

/ip firewall filter
add chain=forward layer7-protocol=Facebook action=drop
add chain=forward layer7-protocol=Youtube action=drop

Importante, antes de bloquear cualquier página hay que revisar exactamente a dónde está buscando conectarse, por ejemplo:

facebook y youtube tienen otros subdominios que le permiten conectarse sin problema.

• OUTPUT: Esta chain se utiliza para marcar todos los paquetes que salen de Mikrotik; todo lo que va a internet o a otras LAN que tengamos conectadas. Ejemplo:

Supongamos que queremos bloquear los DNS de CloudFlare para que nuestra red no les haga consultas.

/ip firewall filter chain=output dst-address=1.1.1.1 action=drop

Repasemos :

• INPUT: Todas las conexiones que viene dirigidas al Mikrotik.
• FORWARD: Todas las conexiones que atraviesan nuestro Mikrotik.
• OUTPUT: Todas las conexiones que salen des nuestro Mikrotik.

Vamos con una configuración sencilla, bastante útil para los routers de casa.

Protegiendo nuestro Router

Suponiendo que nuestra LAN es 192.168.0.0/24:

• la vamos a agregar a una lista
• adicionalmente agregaremos unas ip de Mikrotik (para poder actualizarlo y mantener contacto con la cloud de Mikrotik)
• para finalizar agregamos los DNS que utilizaremos con mayor frecuencia.

/ip firewall address-list

add address=192.168.0.0/24 list=allowed_to_router
add address=download.mikrotik.com list=allowed_to_router
add address=cloud.mikrotik.com list=allowed_to_router
add address=1.1.1.1 list=DNS
add address=8.8.8.8 list=DNS

/ip firewall filter

add chain=input src-address-list=allowed_to_router action=accept
add chain=input src-address-list=DNS action=accept
add action=accept chain=input in-interface=»ether1″ protocol=udp src-address-list=DNS src-port=53
add action=drop chain=input in-interface=»ether1″ protocol=icmp src-address-list=!DNS
add action=drop chain=input src-address-list=!DNS
add action=accept chain=forward comment=»Proteccion para Clientes» connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment=»Drop new connections from internet which are not dst-natted» connection-nat-state=!dstnat connection-state=new in-interface=»ether1″

/ip firewall nat
add action=masquerade chain=srcnat

Con esta sencilla configuración, tendremos nuestro Mikrotik protegido y solo se estará conectando lo que realmente se solicite desde nuestra red interna.

¡Hasta la próxima! @Network_DKnight