Nivel: Básico

En el siguiente articulo se en listaran las reglas básicas para protección del router y de los equipos clientes que están en nuestra red.

Requisitos:

– Para realizar la configuración de este Articulo es necesario llevar a cabo primero la configuración de los siguientes Artículos:

* Articulo: “MikroTik: Configurar puerto WAN” aplicado a un puerto de Red.

* Articulo: “MikroTik – Configurar Red LAN” aplicado a otro puerto de Red.

Configuración a través de Terminal

Sintaxis de código

/ip firewall address-list
  add address=192.168.1.0/24 list="Red LAN"

/ip firewall filter
  add action=accept chain=input comment=IN_CONN_ESTABLISHED_Y_RELATED connection-state=established,related log-prefix=""
  add action=drop chain=input comment=IN_DROP_CONN_INVALID connection-state=invalid log-prefix=""
  add action=accept chain=input comment=IN_CONN_RED_LAN log-prefix="" src-address-list="Red LAN"
  add action=drop chain=input comment="IN_DROP_ALL" log-prefix=""
  add action=accept chain=forward comment=FW_CONN_ESTABLISHED_Y_RELATED connection-state=established,related log-prefix=""
  add action=drop chain=forward comment=FW_DROP_CONN_INVALID connection-state=invalid log-prefix=""
  add action=accept chain=forward comment=FW_CONN_RED_LAN log-prefix="" src-address-list="Red LAN"
  add action=drop chain=forward comment="FW_DROP_ALL, Excepto DST-NAT" connection-nat-state=!dstnat log-prefix=""

Configuración a través de Winbox

1. En base a la Red LAN que se definió en el Articulo Previo, tendremos que definir esa Red en una Lista de Direcciones.

Primero accederemos en nuestro Winbox a IP => Firewall.

En la Ventana Firewall accederemos a la Pestaña Address Lists, y daremos clic en el boton ADD(+).

En la ventana New Firewall Address List registraremos el ID de la Red LAN con un Nombre para identificarlo y por ultimo damos clic en el boton “OK”.

Con esto ya podemos identificar nuestra Red LAN para futuras referencias.

2.- Ahora nos cambiamos a la Pestaña Filter Rules, y estaremos

Generaremos las siguientes Reglas:

Nota: “Los comentarios son opcionales”

La reglas IN, son para proteger del trafico que tiene como destino nuestro router.

Regla para aceptar solo las conexiones relacionadas y establecidas:

Regla para denegar conexiones invalidas

Regla para aceptar el trafico que viene de nuestra Red LAN

Regla para denegar todo el trafico restante, que no cumple con las condiciones anteriores

Las Reglas FW, son para proteger del trafico que tiene como destino a los clientes del Router.

Regla para aceptar solo las conexiones relacionadas y establecidas

Regla para denegar conexiones invalidas

Regla para aceptar el trafico que saldrá que viene de nuestra Red LAN

Regla para denegar el resto del trafico a través del router, a excepción del trafico que este autorizado con una regla DST-NAT

Al final tendremos algo como lo siguiente:

¿Encontró su respuesta?