![\"\"](\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2024\/04\/image.png\")
<\/a><\/figure>\n\n\n\nAll\u00ed tenemos todas las opciones de Firewall en un men\u00fa super completo.De todas formas por ahora solo veremos las opciones b\u00e1sicas para las cu\u00e1les hay que explicar algunos principios.<\/p>\n\n\n\n
Cadenas<\/strong><\/p>\n\n\n\n Las reglas de Firewall se aplican en 3 cadenas: INPUT, FORWARD y OUTPUT. Pero que significan esas opciones?.<\/p>\n\n\n\n Input<\/strong><\/p>\n\n\n\n Los paquetes que tienen como destino<\/strong> el Router<\/strong> se catalogan como INPUT<\/strong>(entrada). Ejemplo… un Ping a la ip p\u00fablica del router o una petici\u00f3n al puerto 80 del router o cualquier tipo de conexi\u00f3n en la que la Laptop del gr\u00e1fico tenga como IP de destino el Router.<\/p>\n\n\n\n Ouput<\/strong><\/p>\n\n\n\n Todo paquete que tenga como Origen<\/strong> el Router<\/strong>, entrar\u00e1 en la categor\u00eda de OUTPUT<\/strong>(salida). Ejemplo, si hacemos un ping desde el router a un servidor, ese paquete entrar\u00e1 en esa categor\u00eda.<\/p>\n\n\n\n Forward<\/strong><\/p>\n\n\n\n Si el paquete sale de la laptop y tiene como Destino<\/strong> una ip detr\u00e1s<\/strong> del Router<\/strong>, entr\u00e1 en FORWARD<\/strong>. Ejemplo una ip de una LAN<\/strong> necesita acceder<\/strong> a un equipo de la DMZ<\/strong>. Es un paquete que \u00abAtraviesa<\/strong>\u00bb el Router, lo ubicamos en FORWARD<\/strong>.<\/p>\n\n\n\n Teniendo en cuentas estas definiciones pasamos a la pr\u00f3xima: La acci\u00f3n<\/strong><\/p>\n\n\n\n Acciones<\/strong><\/p>\n\n\n\n En la pesta\u00f1a de acci\u00f3n tenemos bastantes para trabajar pero nos vamos a centrar solo en dos de ellas por el momento: Accept<\/strong>, Drop<\/strong>.<\/p>\n\n\n\n Accept: <\/strong>Todos los paquetes que entren en esta acci\u00f3n Pasan.<\/p>\n\n\n\n Drop:<\/strong> Todos los paquetes que entren en esta acci\u00f3n se eliminan.<\/p>\n\n\n\n El Orden<\/strong><\/p>\n\n\n\n Otra cuesti\u00f3n que es fundamental en las reglas de Firewall es el orden de las mismas.<\/p>\n\n\n\n En la esquina de la pantalla existe el #, donde cada regla est\u00e1 numerada. Cada vez que llega un paquete al router este es catalogado (input, output, forward) en las cadenas que vimos antes y luego las dem\u00e1s opciones que veremos. Si el paquete que ingresa cumple con las condiciones de la regla se ejecuta lo que la acci\u00f3n dice: Accept o Drop. Sino sigue comparandos\u00e9 con las dem\u00e1s reglas desde arriba hacia abajo hasta encontrar la que correspoonde. Una vez procesada la regla ya no se compara m\u00e1s con las siguientes. Por eso lo ideal es poner las reglas de \u00abpermitir\u00bb arriba y abajo las de bloquear. Si el paquete no matchea con ninguna de permitir directamente se \u00abelimina\u00bb o \u00abDropea\u00bb.<\/p>\n\n\n\n Achicar el scope<\/strong><\/p>\n\n\n\n Ahora nos enfrentamos a la realidad. No basta con catalogar un paquete con INPUT, OUTPUT o FORWARD, tenemos declarar de d\u00f3nde viene y a d\u00f3nde va.<\/p>\n\n\n\n En src-address<\/strong> la ip de origen de nuestra regla<\/p>\n\n\n\n Dst-address <\/strong>la de Destino<\/p>\n\n\n\n Protocol:<\/strong> Protocolo<\/p>\n\n\n\n Dst port<\/strong> y Src port<\/strong>= puerto de destino, puerto de origen.<\/p>\n\n\n\n Ahora a jugar. Reglas que dejemos en blanco no funcionaran.<\/p>\n\n\n\n A configurar Las reglas<\/strong><\/p>\n\n\n\n En el laboratorio https:\/\/www.nerdadas.com\/blog\/?p=1174<\/a> configuramos un router con DHCP, NAT, PAT, una LAN<\/strong> y una DMZ<\/strong>. Ahora vamos a incluir una regla para que los host de la LAN<\/strong>(192.168.10.0\/24) no puedan<\/strong> acceder a la DMZ<\/strong>(10.0.10.0\/24) y viceversa.<\/p>\n\n\n\n Y as\u00ed de sencillo son las reglas que nos separan esas redes directamente conectadas.<\/p>\n\n\n\n Conclusiones<\/strong><\/p>\n\n\n\n Mikrotik RouterOS <\/strong>es muy versatil en cuanto a configuraciones y est\u00e1 demostrando ser un equipo de Red de gama media\/baja de altas prestaciones y muy confiable. M\u00e1s adelante veremos configuraciones avanzadas de seguridad para proveer a la red un firewall fiable si nuestro presupuesto no nos alcanza para un Cisco ASA o un equipo Fortinet. El alcance de estos dispositivos, con las mismas prestaciones pero quiz\u00e1s menos hardware es suficiente para la mayor\u00eda de las peque\u00f1as y medianas empresas que lo usan en sus operaciones diarias.<\/p>\n\n\n\n Sigan jugando, diviertans\u00e9 probando y si se les complica no duden en escribirme que estoy para esto. <\/p>\n","protected":false},"excerpt":{"rendered":" Como configurar reglas b\u00e1sicas de Firewall en Routers Mikrotik<\/p>\n","protected":false},"author":1,"featured_media":1227,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1241,64,1243,13,1223,161,17,804,1198],"tags":[1242,1231,1219,667,1150,10,1230,242,1240,223,569,1238,869,138],"class_list":["post-1208","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hardening","category-ideas","category-montando-tu-red-corporativa-de-0","category-ocio","category-redes","category-seguridad","category-tecnologia","category-ti","category-vmware","tag-avanzado","tag-basico","tag-ciberseguridad","tag-configuracion","tag-firewall","tag-jeremias-palazzesi","tag-mikrotik","tag-network","tag-networking","tag-red","tag-redes","tag-routers","tag-seguridad","tag-trabajo"],"_links":{"self":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/comments?post=1208"}],"version-history":[{"count":10,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1208\/revisions"}],"predecessor-version":[{"id":1265,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1208\/revisions\/1265"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/media\/1227"}],"wp:attachment":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/media?parent=1208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/categories?post=1208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/tags?post=1208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n\/ip firewall filter\nadd action=drop chain=forward comment=\"## LAN to DMZ ##\" dst-address=10.0.10.0\/24 src-address=192.168.10.0\/24\n\/ip firewall filter\nadd action=drop chain=forward comment=\"## DMZ to LAN ##\" dst-address=192.168.10.0\/24 src-address=10.0.10.0\/24<\/code><\/pre>\n\n\n\n