Protegiendo Nuestro Mikrotik
Protegiendo Nuestro Mikrotik
Protegiendo Nuestro Mikrotik
Una de las recomendaciones que siempre se hacen en redes, es en lo posible dejar una
mquina destinada slo a firewall, lo que se cumple utilizando mikrotik, pues requiere de
exclusividad de un PC. Pero la proteccin no pasa solo por eso, adems debemos proteger
nuestro mikrotik de los ataques tanto de diccionarios como de los distintos escaneos de puertos
y demases.
Adems como en mi caso no se utilizan mucho los servicios anterior mente mencionados desde
las afueras de la red interna, se crearn reglas que creen listas de las IP que intentan y/o
acceden al router por todos los puertos, identificando mediante tipos de listas los servicios que
se describieron.
Es as en donde nos encontramos con listas de ip para winbox, ssh, weebbox, telnet, ftp,
y para el resto de los intentos en los otros puertos. Adems, bloquearemos las conexiones
invlidas, que son aquellas que llegan desde supuestas redes internas 10.x.x.x, 172.x.x.x,
192.x.x.x etc.. Regularemos que nuestro router sea cerrado y admita solo la red interna (en mi
caso 10.10.10.1/25) y adems una lista de las ip externas conocidas y que considero fiables.
Como nota tiene que fijarse que las reglas admiten la red interna 10.10.10.1/25, por lo
que cambien su segmento de red correspondiente a travs del mismo winbox, o bien antes de
pegar estas reglas.
Ahora si van grficamente IP Firewall y a Adress List, podrn seleccionar las listas y ver
las IP que se han conectado por los servicios, y las invlidas.
Para hacer menos restrictivo el firewall, pueden deshabilitar alguno de los bloqueos por
lista, esto se hace presionando la X de winbox, o por comandos editan la regla y el Disable=no
lo cambian a Disable=yes.
Espero que les guste el firewall, basado en elwiki de mikrotik, editado y con las listas
de las IP. Cualquier sugerencia, reclamo o algo por el estilo, posteen en este mismo
informativo.
Cerrar ventana
hola amigo puedes usar cualquiera de estas 2 reglas en el firewall de tu RB Cloud core.
Bloque todo p2p
/ip firewall filter
add action=drop chain=forward comment=" Bloqueo Todo P2P" disabled=no p2p=all-p2p
o si solo quieres limitar la velocidad para estos programas p2p puedes usar esta regla.
Queue Tree
/queue tree
add name="p2p_down" parent=DOWNLOAD packet-mark=p2p_in limit-at=10k queue=default
priority=8 max-limit=32k burst-limit=0 burst-threshold=0 burst-time=0s
add name="p2p_up" parent=UPLOAD packet-mark=p2p_out limit-at=10k queue=default
priority=8 max-limit=32k burst-limit=0 burst-threshold=0 burst-time=0s
hace 6 meses Responder Me gusta
Si tienes una versin reciente de MikroTik, como v4.xx puedes bloquear buena
parte de los P2P usando nicamente la tpica regla general de bloqueo de P2P.
CODE, HTML o PHP Insertado:
Preparacin de MikroTik
Este tutorial tomar en cuenta que ya tenemos un servidor MikroTik configurado y funcionando,
ya si no se cuenta con uno, entonces se tendr que utilizar ThunderCache ya sea en Modo
Bridge, o en Modo Router.
En el esquema mostrado se puede apreciar que ThunderCache slo contar con una sola
interfaz de red, que ser utilizada para aceptar tanto peticiones de nuestros clientes as como
las solicitudes a Internet; aunque si se cree conveniente se puede utilizar interfaces de red
diferentes, para poder utilizar el servidor ya sea en modo Paralelo, Bridge, o Gateway.
Donde 10.0.0.1/24 es la puerta de enlace para Thunder (ver imagen), y PROXY es el nombre
de la interfaz de red, o tarjeta de red destinada a nuestro nuevo servidor, ustedes tendran que
adaptarlo a su situacin, ya sea tanto en el IP de puerta de enlace, as como con el nombre de
la interfaz de red.
Si el servidor MikroTik de administracin est haciendo NAT, se est tomar en cuenta que el
enmascarado es de este tipo:
/ip firewall nat
add chain=srcnat out-interface=WAN action=masquerade
Nota: Se recomienda dejar slo un enmascarado. Si se enmascara slo una interfaz LAN o
un rango de red, debera removerlos.
Si llegan a tener problemas con esto, aunque es lo ms bsico, pueden darle una revisada a
mis manuales o hacer su pregunta en el Foro de Soporte. Si no se est seguro, sera excelente
que probaran el internet de esa interfaz antes de proceder a la instalacin. Una vez
comprobada que la interfaz est correctamente configurada, conectar ah el server thunder y
proceder a la instalacin.
Donde el valor 18 es el valor DSCP que ThunderCache utiliza por defecto para marcar todo el
trfico saliente del cach.
Una vez marcados los paquetes, slo tendremos que darle uso a esa marca, entonces
procederemos a configurar la respectiva regla en Queue Tree.
/queue tree
add name=fullcache packet-mark=fullcache parent=global-out priority=8 maxlimit=5M queue=default
Donde 5M quiere decir la velocidad mxima que tendrn los elementos que salgan del cache,
ya cada uno puede colocar el lmite que crea conveniente. Si no se quiere tener restriccin de
velocidad o tenerlo ilimitado, entonces se tendra que colocar el valor 0.
Ya con esto nuestro servidor Thunder estara todo configurado y funcionando, cualquier
problema con esta u otras guas, utilizar el Foro de Soporte.