MikroTik - Configurar Firewall Basico

Nivel: Básico

En el siguiente articulo se en listaran las reglas básicas para protección del router y de los equipos clientes que están en nuestra red.

Requisitos:

- Para realizar la configuración de este Articulo es necesario llevar a cabo primero la configuración de los siguientes Artículos:

  * Articulo: "MikroTik - Configurar puerto WAN" aplicado a un puerto de Red.

  * Articulo: "MikroTik - Configurar Red LAN" aplicado a otro puerto de Red.

Articulo Recomendado Posteriormente:

- Direccionamiento el trafico entrante de una interfaces a un equipo interno.

 * Articulo: "MikroTik - Configurar DST-NAT" (Próximamente)

1.- En base a la Red LAN que se definió en el Articulo Previo, tendremos que definir esa Red en una Lista de Direcciones.

Primero accederemos en nuestro Winbox a IP => Firewall.

En la Ventana Firewall accederemos a la Pestaña Address Lists, y daremos clic en el boton ADD(+).

En la ventana New Firewall Address List registraremos el ID de la Red LAN con un Nombre para identificarlo y por ultimo damos clic en el boton "OK".

Con esto ya podemos identificar nuestra Red LAN para futuras referencias.

Sintaxis de Código:

/ip firewall address-list add address=192.168.1.0/24 list="Red LAN"

2.- Ahora nos cambiamos a la Pestaña Filter Rules, y estaremos 

Generaremos las siguientes Reglas:

Nota: "Los comentarios son opcionales"

La reglas IN, son para proteger del trafico que tiene como destino nuestro router.

Regla para aceptar solo las conexiones relacionadas y establecidas:


Sintaxis del Código:

/ip firewall filter add action=accept chain=input comment=IN_CONN_ESTABLISHED_Y_RELATED connection-state=established,related log-prefix=""

Regla para denegar conexiones invalidas

 

Sintaxis del Código:
/ip firewall filter add action=drop chain=input comment=IN_DROP_CONN_INVALID connection-state=invalid log-prefix=""

Regla para aceptar el trafico que viene de nuestra Red LAN

 

Sintaxis del Código:

/ip firewall filter add action=accept chain=input comment=IN_CONN_RED_LAN log-prefix="" src-address-list="Red LAN"

Regla para denegar todo el trafico restante, solo dejara entrar lo que este en el DST-NAT

 

Sintaxis del Código:

/ip firewall filter add action=drop chain=input comment="IN_DROP_ALL, Excepto DST-NAT" connection-nat-state=!dstnat log-prefix=""

Las Reglas FW, son para proteger del trafico que tiene como destino a los clientes del Router.

Regla para aceptar solo las conexiones relacionadas y establecidas

 

Sintaxis del Código:
/ip firewall filter add action=accept chain=forward comment=FW_CONN_ESTABLISHED_Y_RELATED connection-state=established,related log-prefix=""

Regla para denegar conexiones invalidas

 

Sintaxis del Código:
/ip firewall filter add action=drop chain=forward comment=FW_DROP_CONN_INVALID connection-state=invalid log-prefix=""

Regla para aceptar el trafico que saldrá que viene de nuestra Red LAN

 

Sintaxis del Código:
/ip firewall filter add action=accept chain=forward comment=FW_CONN_RED_LAN log-prefix="" src-address-list="Red LAN"

Regla para denegar el resto del trafico a través del router, a excepción del trafico que este autorizado con una regla DST-NAT

 

Sintaxis del Código:
/ip firewall filter add action=drop chain=forward comment="FW_DROP_ALL, Excepto DST-NAT" connection-nat-state=!dstnat log-prefix=""

Al final tendremos algo como lo siguiente:

  • 256
  • 22-Dic-2016
  • 10992 Views