Para los que venimos del palo de linux Mikrotik tiene una lógica similar y nos resulta más sencillo. (La interfáz gráfica es una super ayuda también).
En esta guía voy a tratar de explicar lo más sencillo posible el funcionamiento básico del firewall en Mikrotik y luego vamos a configurar algunas reglas en el laboratorio de la guía para
Arrancamos por el principio. En Mikrotik accedemos al firewall en /IP /Firewall/ Filter. Allí tenemos un botón + y agregaremos las reglas que necesitamos
Allí tenemos todas las opciones de Firewall en un menú super completo.De todas formas por ahora solo veremos las opciones básicas para las cuáles hay que explicar algunos principios.
Cadenas
Las reglas de Firewall se aplican en 3 cadenas: INPUT, FORWARD y OUTPUT. Pero que significan esas opciones?.
Input
Los paquetes que tienen como destino el Router se catalogan como INPUT(entrada). Ejemplo… un Ping a la ip pública del router o una petición al puerto 80 del router o cualquier tipo de conexión en la que la Laptop del gráfico tenga como IP de destino el Router.
Ouput
Todo paquete que tenga como Origen el Router, entrará en la categoría de OUTPUT(salida). Ejemplo, si hacemos un ping desde el router a un servidor, ese paquete entrará en esa categoría.
Forward
Si el paquete sale de la laptop y tiene como Destino una ip detrás del Router, entrá en FORWARD. Ejemplo una ip de una LAN necesita acceder a un equipo de la DMZ. Es un paquete que «Atraviesa» el Router, lo ubicamos en FORWARD.
Teniendo en cuentas estas definiciones pasamos a la próxima: La acción
Acciones
En la pestaña de acción tenemos bastantes para trabajar pero nos vamos a centrar solo en dos de ellas por el momento: Accept, Drop.
Accept: Todos los paquetes que entren en esta acción Pasan.
Drop: Todos los paquetes que entren en esta acción se eliminan.
El Orden
Otra cuestión que es fundamental en las reglas de Firewall es el orden de las mismas.
En la esquina de la pantalla existe el #, donde cada regla está numerada. Cada vez que llega un paquete al router este es catalogado (input, output, forward) en las cadenas que vimos antes y luego las demás opciones que veremos. Si el paquete que ingresa cumple con las condiciones de la regla se ejecuta lo que la acción dice: Accept o Drop. Sino sigue comparandosé con las demás reglas desde arriba hacia abajo hasta encontrar la que correspoonde. Una vez procesada la regla ya no se compara más con las siguientes. Por eso lo ideal es poner las reglas de «permitir» arriba y abajo las de bloquear. Si el paquete no matchea con ninguna de permitir directamente se «elimina» o «Dropea».
Achicar el scope
Ahora nos enfrentamos a la realidad. No basta con catalogar un paquete con INPUT, OUTPUT o FORWARD, tenemos declarar de dónde viene y a dónde va.
En src-address la ip de origen de nuestra regla
Dst-address la de Destino
Protocol: Protocolo
Dst port y Src port= puerto de destino, puerto de origen.
Ahora a jugar. Reglas que dejemos en blanco no funcionaran.
A configurar Las reglas
En el laboratorio https://www.nerdadas.com/blog/?p=1174 configuramos un router con DHCP, NAT, PAT, una LAN y una DMZ. Ahora vamos a incluir una regla para que los host de la LAN(192.168.10.0/24) no puedan acceder a la DMZ(10.0.10.0/24) y viceversa.
/ip firewall filter
add action=drop chain=forward comment="## LAN to DMZ ##" dst-address=10.0.10.0/24 src-address=192.168.10.0/24
/ip firewall filter
add action=drop chain=forward comment="## DMZ to LAN ##" dst-address=192.168.10.0/24 src-address=10.0.10.0/24
Y así de sencillo son las reglas que nos separan esas redes directamente conectadas.
Conclusiones
Mikrotik RouterOS es muy versatil en cuanto a configuraciones y está demostrando ser un equipo de Red de gama media/baja de altas prestaciones y muy confiable. Más adelante veremos configuraciones avanzadas de seguridad para proveer a la red un firewall fiable si nuestro presupuesto no nos alcanza para un Cisco ASA o un equipo Fortinet. El alcance de estos dispositivos, con las mismas prestaciones pero quizás menos hardware es suficiente para la mayoría de las pequeñas y medianas empresas que lo usan en sus operaciones diarias.
Sigan jugando, diviertansé probando y si se les complica no duden en escribirme que estoy para esto.