Para los que venimos del palo de linux Mikrotik tiene una lógica similar y nos resulta más sencillo. (La interfáz gráfica es una super ayuda también).

En esta guía voy a tratar de explicar lo más sencillo posible el funcionamiento básico del firewall en Mikrotik y luego vamos a configurar algunas reglas en el laboratorio de la guía para

Arrancamos por el principio. En Mikrotik accedemos al firewall en /IP /Firewall/ Filter. Allí tenemos un botón + y agregaremos las reglas que necesitamos

Allí tenemos todas las opciones de Firewall en un menú super completo.De todas formas por ahora solo veremos las opciones básicas para las cuáles hay que explicar algunos principios.

Cadenas

Las reglas de Firewall se aplican en 3 cadenas: INPUT, FORWARD y OUTPUT. Pero que significan esas opciones?.

Input

Los paquetes que tienen como destino el Router se catalogan como INPUT(entrada). Ejemplo… un Ping a la ip pública del router o una petición al puerto 80 del router o cualquier tipo de conexión en la que la Laptop del gráfico tenga como IP de destino el Router.

Ouput

Todo paquete que tenga como Origen el Router, entrará en la categoría de OUTPUT(salida). Ejemplo, si hacemos un ping desde el router a un servidor, ese paquete entrará en esa categoría.

Forward

Si el paquete sale de la laptop y tiene como Destino una ip detrás del Router, entrá en FORWARD. Ejemplo una ip de una LAN necesita acceder a un equipo de la DMZ. Es un paquete que «Atraviesa» el Router, lo ubicamos en FORWARD.

Teniendo en cuentas estas definiciones pasamos a la próxima: La acción

Acciones

En la pestaña de acción tenemos bastantes para trabajar pero nos vamos a centrar solo en dos de ellas por el momento: Accept, Drop.

Accept: Todos los paquetes que entren en esta acción Pasan.

Drop: Todos los paquetes que entren en esta acción se eliminan.

El Orden

Otra cuestión que es fundamental en las reglas de Firewall es el orden de las mismas.

En la esquina de la pantalla existe el #, donde cada regla está numerada. Cada vez que llega un paquete al router este es catalogado (input, output, forward) en las cadenas que vimos antes y luego las demás opciones que veremos. Si el paquete que ingresa cumple con las condiciones de la regla se ejecuta lo que la acción dice: Accept o Drop. Sino sigue comparandosé con las demás reglas desde arriba hacia abajo hasta encontrar la que correspoonde. Una vez procesada la regla ya no se compara más con las siguientes. Por eso lo ideal es poner las reglas de «permitir» arriba y abajo las de bloquear. Si el paquete no matchea con ninguna de permitir directamente se «elimina» o «Dropea».

Achicar el scope

Ahora nos enfrentamos a la realidad. No basta con catalogar un paquete con INPUT, OUTPUT o FORWARD, tenemos declarar de dónde viene y a dónde va.

En src-address la ip de origen de nuestra regla

Dst-address la de Destino

Protocol: Protocolo

Dst port y Src port= puerto de destino, puerto de origen.

Ahora a jugar. Reglas que dejemos en blanco no funcionaran.

A configurar Las reglas

En el laboratorio https://www.nerdadas.com/blog/?p=1174 configuramos un router con DHCP, NAT, PAT, una LAN y una DMZ. Ahora vamos a incluir una regla para que los host de la LAN(192.168.10.0/24) no puedan acceder a la DMZ(10.0.10.0/24) y viceversa.

/ip firewall filter
add action=drop chain=forward comment="## LAN to DMZ ##" dst-address=10.0.10.0/24 src-address=192.168.10.0/24
/ip firewall filter
add action=drop chain=forward comment="## DMZ to LAN ##" dst-address=192.168.10.0/24 src-address=10.0.10.0/24

Y así de sencillo son las reglas que nos separan esas redes directamente conectadas.

Conclusiones

Mikrotik RouterOS es muy versatil en cuanto a configuraciones y está demostrando ser un equipo de Red de gama media/baja de altas prestaciones y muy confiable. Más adelante veremos configuraciones avanzadas de seguridad para proveer a la red un firewall fiable si nuestro presupuesto no nos alcanza para un Cisco ASA o un equipo Fortinet. El alcance de estos dispositivos, con las mismas prestaciones pero quizás menos hardware es suficiente para la mayoría de las pequeñas y medianas empresas que lo usan en sus operaciones diarias.

Sigan jugando, diviertansé probando y si se les complica no duden en escribirme que estoy para esto.

Por Jeremías Palazzesi

Solucionador de Problemas Senior!. No podés con algo?, probá conmigo!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Verificado por MonsterInsights