Protegiendo Nuestro Mikrotik/Router de los ataques.

Una de las recomendaciones que siempre se hacen en redes, es en lo posible dejar una mquina destinada slo a firewall, lo que se cumple utilizando mikrotik, pues requiere de exclusividad de un PC Pero la proteccin no pasa solo por eso, adems debemos prote!er " demases

nuestro mikrotik de los ataques tanto de diccionarios como de los distintos escaneos de pu

# continuacin les muestro un firewall bastante intuitivo, el cual consiste en dejar abiertos (, para telnet " $(-) para &inbox

puertos que ocupa mikrotik, es decir, $% para mostrar el &eb'ox, () para el ftp, (( para *

#dems como en mi caso no se utilizan mucho los servicios anterior mente mencionados d las afueras de la red interna, se crearn re!las que creen listas de las .P que intentan "/o se describieron

acceden al router por todos los puertos, identificando mediante tipos de listas los servicios

0s as1 en donde nos encontramos con listas de ip para winbox, ssh, weebbox, telnet,

" para el resto de los intentos en los otros puertos #dems, bloquearemos las conexiones )-( x x x etc

invlidas, que son aquellas que lle!an desde supuestas redes internas )% x x x, )2( x x x, caso )% $ ) %/(56 " adems una lista de las ip externas conocidas " que considero fiables

3e!ularemos que nuestro router sea cerrado " admita solo la red interna 4e

Para quienes no quieren entender mucho de las re!las, ha!an un cop"7paste de lo

si!uiente, en la ventana de 8erminal, dentro de ip firewall filter 0s decir les aparecer esto

:ue!o copien estos cdi!os9

add chain=input connection-state=established action=accept comment="Aceptar \ conexiones establecidas" disabled=no add chain=input connection-state=related action=accept comment="Aceptar \ related conexiones" disabled=no add chain=input connection-state=invalid action=drop comment="Rechazar \ conexiones invlidas" disabled=no add chain=input src-address=!10. .1.0!"# src-address-list="$ntentos %%&" \ action=drop comment="'lo(uear )ista %%&" disabled=no add chain=input src-address=!10. .1.0!"# src-address-list=")ista *elnet" \ action=drop comment="'lo(uea )ista *elnet" disabled=no add chain=input src-address=!10. .1.0!"# src-address-list="'lo(ueo de \ $nvalidos Router" action=drop comment="'lo(ueo )ista de $nvalidos" \ disabled=no

add chain=input src-address=!10. .1.0!"# src-address-list="+ntradas por ,*-" \ action=drop comment="'lo(uear )ista ,*-" disabled=no add chain=input protocol=tcp dst-port="1 action=add-src-to-address-list \ address-list="+ntradas por ,*-" address-list-timeout=0s comment=".rea \ )ista de $-s (ue entran al ,*-" disabled=no add chain=input protocol=tcp dst-port="1 action=accept comment="Aceptar \ .onexiones ,*-" disabled=no add chain=input protocol=tcp dst-port= 0 action=add-src-to-address-list \ address-list="Accesos /ia 0eb" address-list-timeout=0s comment=".rea )ista \ de $-s (ue ven 0eb'ox" disabled=no add chain=input protocol=tcp dst-port= 0 action=accept comment="Acepta 0eb'ox" \ disabled=no add chain=input protocol=udp action=accept comment="12-" disabled=no add chain=input protocol=icmp limit=30!3s4" action=accept comment="Aceptar \ pin5s limitados" disabled=no add chain=input protocol=icmp action=drop comment="Rechazar pin5s execibos" \ disabled=no add chain=input protocol=tcp dst-port="6 action=add-src-to-address-list \ address-list=")ista *elnet" address-list-timeout=0s comment=")ista *elnet" \ disabled=no add chain=input protocol=tcp dst-port="6 action=accept comment="Acepta *elnet" \ disabled=no add chain=input protocol=tcp dst-port="" action=add-src-to-address-list \ address-list="$ntentos %%&" address-list-timeout=0s comment=".rea )ista de \ +ntradas %%&" disabled=no add chain=input protocol=tcp dst-port="" action=accept comment="%%&" \ disabled=no add chain=input src-address=10. .1.0!"# action=accept comment=".onexiones \ desde la red )ocal" disabled=no add chain=input protocol=tcp dst-port= "71 action=add-src-to-address-list \ address-list=0inbox address-list-timeout=0s comment="A5re5a $-s 8ue entran \ por 0inbox" disabled=no add chain=input protocol=tcp dst-port= "71 action=lo5 lo5-pre9ix="+ntrada por \ 0inbox" comment=")o5 entradas por 0in'ox" disabled=no add chain=input protocol=tcp dst-port= "71 action=accept comment=":inbox" \

disabled=no add chain=input protocol=tcp dst-port="6 action=accept comment="Aceptar \ .onexiones *elnet" disabled=no add chain=input action=add-src-to-address-list address-list="'lo(ueo de \ $nvalidos Router" address-list-timeout=0s comment=")ista de $- por \ acciones 9uera de re5las" disabled=no add chain=input action=drop comment="Rechazar todo lo dems" disabled=no

Como nota tiene que fijarse que las re!las admiten la red interna )% $ ) %/(5, por lo que cambien su se!mento de red correspondiente a trav;s del mismo winbox, o bien antes de estas re!las

#hora si van !rficamente .P <irewall " a #dress :ist, podrn seleccionar las listas " ver las que se han conectado por los servicios, " las invlidas

Para hacer menos restrictivo el firewall, pueden deshabilitar al!uno de los bloqueos por list cambian a >isable?"es

esto se hace presionando la = de winbox, o por comandos editan la re!la " el >isable?no l

Una fotito de como se ve el firewall " las listas de direcciones9

0spero que les !uste el firewall, basado en elwiki de mikrotik, editado " con las listas de la Cualquier su!erencia, reclamo o al!o por el estilo, posteen en este mismo informativo

*aludos cordiales, Carlos Campano

Cerrar ventana