Professional Documents
Culture Documents
Una de las recomendaciones que siempre se hacen en redes, es en lo posible dejar una mquina destinada slo a firewall, lo que se cumple utilizando mikrotik, pues requiere de exclusividad de un PC Pero la proteccin no pasa solo por eso, adems debemos prote!er " demases
nuestro mikrotik de los ataques tanto de diccionarios como de los distintos escaneos de pu
# continuacin les muestro un firewall bastante intuitivo, el cual consiste en dejar abiertos (, para telnet " $(-) para &inbox
puertos que ocupa mikrotik, es decir, $% para mostrar el &eb'ox, () para el ftp, (( para *
#dems como en mi caso no se utilizan mucho los servicios anterior mente mencionados d las afueras de la red interna, se crearn re!las que creen listas de las .P que intentan "/o se describieron
acceden al router por todos los puertos, identificando mediante tipos de listas los servicios
0s as1 en donde nos encontramos con listas de ip para winbox, ssh, weebbox, telnet,
" para el resto de los intentos en los otros puertos #dems, bloquearemos las conexiones )-( x x x etc
invlidas, que son aquellas que lle!an desde supuestas redes internas )% x x x, )2( x x x, caso )% $ ) %/(56 " adems una lista de las ip externas conocidas " que considero fiables
3e!ularemos que nuestro router sea cerrado " admita solo la red interna 4e
si!uiente, en la ventana de 8erminal, dentro de ip firewall filter 0s decir les aparecer esto
add chain=input connection-state=established action=accept comment="Aceptar \ conexiones establecidas" disabled=no add chain=input connection-state=related action=accept comment="Aceptar \ related conexiones" disabled=no add chain=input connection-state=invalid action=drop comment="Rechazar \ conexiones invlidas" disabled=no add chain=input src-address=!10. .1.0!"# src-address-list="$ntentos %%&" \ action=drop comment="'lo(uear )ista %%&" disabled=no add chain=input src-address=!10. .1.0!"# src-address-list=")ista *elnet" \ action=drop comment="'lo(uea )ista *elnet" disabled=no add chain=input src-address=!10. .1.0!"# src-address-list="'lo(ueo de \ $nvalidos Router" action=drop comment="'lo(ueo )ista de $nvalidos" \ disabled=no
add chain=input src-address=!10. .1.0!"# src-address-list="+ntradas por ,*-" \ action=drop comment="'lo(uear )ista ,*-" disabled=no add chain=input protocol=tcp dst-port="1 action=add-src-to-address-list \ address-list="+ntradas por ,*-" address-list-timeout=0s comment=".rea \ )ista de $-s (ue entran al ,*-" disabled=no add chain=input protocol=tcp dst-port="1 action=accept comment="Aceptar \ .onexiones ,*-" disabled=no add chain=input protocol=tcp dst-port= 0 action=add-src-to-address-list \ address-list="Accesos /ia 0eb" address-list-timeout=0s comment=".rea )ista \ de $-s (ue ven 0eb'ox" disabled=no add chain=input protocol=tcp dst-port= 0 action=accept comment="Acepta 0eb'ox" \ disabled=no add chain=input protocol=udp action=accept comment="12-" disabled=no add chain=input protocol=icmp limit=30!3s4" action=accept comment="Aceptar \ pin5s limitados" disabled=no add chain=input protocol=icmp action=drop comment="Rechazar pin5s execibos" \ disabled=no add chain=input protocol=tcp dst-port="6 action=add-src-to-address-list \ address-list=")ista *elnet" address-list-timeout=0s comment=")ista *elnet" \ disabled=no add chain=input protocol=tcp dst-port="6 action=accept comment="Acepta *elnet" \ disabled=no add chain=input protocol=tcp dst-port="" action=add-src-to-address-list \ address-list="$ntentos %%&" address-list-timeout=0s comment=".rea )ista de \ +ntradas %%&" disabled=no add chain=input protocol=tcp dst-port="" action=accept comment="%%&" \ disabled=no add chain=input src-address=10. .1.0!"# action=accept comment=".onexiones \ desde la red )ocal" disabled=no add chain=input protocol=tcp dst-port= "71 action=add-src-to-address-list \ address-list=0inbox address-list-timeout=0s comment="A5re5a $-s 8ue entran \ por 0inbox" disabled=no add chain=input protocol=tcp dst-port= "71 action=lo5 lo5-pre9ix="+ntrada por \ 0inbox" comment=")o5 entradas por 0in'ox" disabled=no add chain=input protocol=tcp dst-port= "71 action=accept comment=":inbox" \
disabled=no add chain=input protocol=tcp dst-port="6 action=accept comment="Aceptar \ .onexiones *elnet" disabled=no add chain=input action=add-src-to-address-list address-list="'lo(ueo de \ $nvalidos Router" address-list-timeout=0s comment=")ista de $- por \ acciones 9uera de re5las" disabled=no add chain=input action=drop comment="Rechazar todo lo dems" disabled=no
Como nota tiene que fijarse que las re!las admiten la red interna )% $ ) %/(5, por lo que cambien su se!mento de red correspondiente a trav;s del mismo winbox, o bien antes de estas re!las
#hora si van !rficamente .P <irewall " a #dress :ist, podrn seleccionar las listas " ver las que se han conectado por los servicios, " las invlidas
Para hacer menos restrictivo el firewall, pueden deshabilitar al!uno de los bloqueos por list cambian a >isable?"es
esto se hace presionando la = de winbox, o por comandos editan la re!la " el >isable?no l
0spero que les !uste el firewall, basado en elwiki de mikrotik, editado " con las listas de la Cualquier su!erencia, reclamo o al!o por el estilo, posteen en este mismo informativo
Cerrar ventana