En este manual vamos a poder configurar MikroTik para bloquear URL's y aplicaciones en su totalidad, existen otros métodos como SSL inspection y MITM (Man in the middle) que no son tan eficientes, si no se tiene un certificado valido aparecerá una advertencia de seguridad en los navegadores de usuarios y en el caso de layer7 no puede inspeccionar paquetes SSL solo inspecciona lo visible por lo tanto si no se encuentra el patrón de búsqueda no bloqueara dicho paquete.

En el caso de hacer bloqueo por bloques de IPs es mas directo ya que se bloquea el bloque de IP's del que hace uso por ejemplo Facebook, Whatsapp o Twitter por lo que bloqueamos directamente la IP de destino sin necesidad de realizar inspección de trafico por medio de los bloques de IP's BGP algo que en Linux se llama IPSet en MikroTik se maneja como address-list.

Ventajas:

  • Bloquea una red en su totalidad URL's y aplicaciones todo lo relacionado un ejemplo será este manual aquí bloquearemos los bloques de IP´s que usa Facebook en su totalidad incluyendo Instagram ya que los dos son parte de los mismos bloques.

  • Consume menos CPU que layer7 y SSL inspection.

Desventajas:

  • No se puede seleccionar si bloquear solo URL´s o aplicación.

  • Puede coincidir con otras URL's o apps relacionadas como en este manual Instagram y Facebook pertenecen a los mismos bloques de IP's.

  • Equipos locales que se conecten a un servidor VPN externo no se podrán bloquear, esto pasa con cualquier método, habrá que agregar reglas extras para bloquear conexiones VPN salientes.

  • Estar al pendiente si Facebook agrega otro bloque de direcciones IP's para agregarlo a la lista de direcciones.

Requerimientos:

  • Un equipo MikroTik con RouterOS

  • Tener el equipo ya configurado como router una WAN y una LAN.

  • Si no tenemos el equipo todavía como router podemos ayudarnos de los siguientes manuales:

Configurar puerto WAN:

https://soporte.syscom.mx/es/articles/1439489-mikrotik-configurar-puerto-wan

Configurar puerto LAN:

https://soporte.syscom.mx/es/articles/1439491-mikrotik-configurar-red-lan

Una vez realiza los manuales podemos seguir con los siguiente pasos:

Paso 1:

Accedemos a la pagina https://bgp.he.net y buscamos por ejemplo Facebook para que nos despliegue todos los bloques de IP's relacionados con Facebook.

Una vez desplegada la lista de bloques copiamos toda la tabla a Excel y la ordenamos a manera que nos queden solamente los bloques de IP's.

Paso 2:

Adicionalmente agregamos otra columna con la que anteponemos el comando de MikroTik:

/ip firewall address-list add list=Facebook address=

En Excel debería quedarnos de esta manera:

Copiamos y pegamos directamente en la terminal de MikroTik para que comience a cargar la lista de direcciones llamada Facebook (ejemplo en las imágenes):


Paso 3:



Como ultimo paso agregamos la siguiente regla al firewall igual editamos copiamos y pegamos en la terminal de MikroTik:

/ip firewall filter add action=drop chain=forward dst-address-list=Facebook in-interface=puente out-interface=wlan1 src-address=192.168.13.0/24


Referencia de parámetros:

  • dst-address-list: Aqui seleccionamos la lista de direcciones Facebook.

  • in-interface: Aquí seleccionamos la interfaz LAN.

  • out-interface: Aquí seleccionamos la interfaz WAN

  • src-address: Aquí seleccionamos el rango o bloque de direcciones locales.

Con esto ya estaremos bloqueando la red Facebook e Instagram en su totalidad tanto URL´s como apps relacionadas.

¿Encontró su respuesta?