Protegiendo Nuestro Mikrotik/Router de los ataques.

Una de las recomendaciones que siempre se hacen en redes, es en lo posible dejar una
mquina destinada slo a firewall, lo que se cumple utilizando mikrotik, pues requiere de
exclusividad de un PC. Pero la proteccin no pasa solo por eso, adems debemos proteger
nuestro mikrotik de los ataques tanto de diccionarios como de los distintos escaneos de puertos
y demases.

A continuacin les muestro un firewall bastante intuitivo, el cual consiste en dejar

abiertos los puertos que ocupa mikrotik, es decir, 80 para mostrar el WebBox, 21 para el ftp, 22
para SSH, 23 para telnet y 8291 para Winbox.

Adems como en mi caso no se utilizan mucho los servicios anterior mente mencionados desde
las afueras de la red interna, se crearn reglas que creen listas de las IP que intentan y/o
acceden al router por todos los puertos, identificando mediante tipos de listas los servicios que
se describieron.

Es as en donde nos encontramos con listas de ip para winbox, ssh, weebbox, telnet, ftp,
y para el resto de los intentos en los otros puertos. Adems, bloquearemos las conexiones
invlidas, que son aquellas que llegan desde supuestas redes internas 10.x.x.x, 172.x.x.x,
192.x.x.x etc.. Regularemos que nuestro router sea cerrado y admita solo la red interna (en mi
caso 10.10.10.1/25) y adems una lista de las ip externas conocidas y que considero fiables.

Para quienes no quieren entender mucho de las reglas, hagan un copy-paste de lo

siguiente, en la ventana de Terminal, dentro de ip firewall filter. Es decir les aparecer esto:

Luego copien estos cdigos:

ip firewall filter

add chain=input connection-state=established action=accept comment="Aceptar \

conexiones establecidas" disabled=no
add chain=input connection-state=related action=accept comment="Aceptar \
related conexiones" disabled=no
add chain=input connection-state=invalid action=drop comment="Rechazar \
conexiones invlidas" disabled=no
add chain=input src-address=!10.10.10.1/25 src-address-list="Intentos SSH" \
action=drop comment="Bloquear Lista SSH" disabled=no
add chain=input src-address=!10.10.10.1/25 src-address-list="Lista Telnet" \
action=drop comment="Bloquea Lista Telnet" disabled=no
add chain=input src-address=!10.10.10.1/25 src-address-list="Bloqueo de \

Invalidos Router" action=drop comment="Bloqueo Lista de Invalidos" \

disabled=no
add chain=input src-address=!10.10.10.1/25 src-address-list="Entradas por FTP" \
action=drop comment="Bloquear Lista FTP" disabled=no
add chain=input protocol=tcp dst-port=21 action=add-src-to-address-list \
address-list="Entradas por FTP" address-list-timeout=0s comment="Crea \
Lista de IPs que entran al FTP" disabled=no
add chain=input protocol=tcp dst-port=21 action=accept comment="Aceptar \
Conexiones FTP" disabled=no
add chain=input protocol=tcp dst-port=80 action=add-src-to-address-list \
address-list="Accesos Via Web" address-list-timeout=0s comment="Crea Lista \
de IPs que ven WebBox" disabled=no
add chain=input protocol=tcp dst-port=80 action=accept comment="Acepta WebBox" \
disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Aceptar \
pings limitados" disabled=no
add chain=input protocol=icmp action=drop comment="Rechazar pings execibos" \
disabled=no
add chain=input protocol=tcp dst-port=23 action=add-src-to-address-list \
address-list="Lista Telnet" address-list-timeout=0s comment="Lista Telnet" \
disabled=no
add chain=input protocol=tcp dst-port=23 action=accept comment="Acepta Telnet" \
disabled=no
add chain=input protocol=tcp dst-port=22 action=add-src-to-address-list \
address-list="Intentos SSH" address-list-timeout=0s comment="Crea Lista de \
Entradas SSH" disabled=no
add chain=input protocol=tcp dst-port=22 action=accept comment="SSH" \
disabled=no
add chain=input src-address=10.10.10.1/25 action=accept comment="Conexiones \
desde la red Local" disabled=no
add chain=input protocol=tcp dst-port=8291 action=add-src-to-address-list \
address-list=Winbox address-list-timeout=0s comment="Agrega IPs Que entran \
por Winbox" disabled=no
add chain=input protocol=tcp dst-port=8291 action=log log-prefix="Entrada por \

Winbox" comment="Log entradas por WinBox" disabled=no

add chain=input protocol=tcp dst-port=8291 action=accept comment="winbox" \
disabled=no
add chain=input protocol=tcp dst-port=23 action=accept comment="Aceptar \
Conexiones Telnet" disabled=no
add chain=input action=add-src-to-address-list address-list="Bloqueo de \
Invalidos Router" address-list-timeout=0s comment="Lista de IP por \
acciones fuera de reglas" disabled=no
add chain=input action=drop comment="Rechazar todo lo dems" disabled=no

Como nota tiene que fijarse que las reglas admiten la red interna 10.10.10.1/25, por lo
que cambien su segmento de red correspondiente a travs del mismo winbox, o bien antes de
pegar estas reglas.

Ahora si van grficamente IP Firewall y a Adress List, podrn seleccionar las listas y ver
las IP que se han conectado por los servicios, y las invlidas.

Para hacer menos restrictivo el firewall, pueden deshabilitar alguno de los bloqueos por
lista, esto se hace presionando la X de winbox, o por comandos editan la regla y el Disable=no
lo cambian a Disable=yes.

Una fotito de como se ve el firewall y las listas de direcciones:

Espero que les guste el firewall, basado en elwiki de mikrotik, editado y con las listas
de las IP. Cualquier sugerencia, reclamo o algo por el estilo, posteen en este mismo
informativo.

Saludos cordiales, Carlos Campano.

Cerrar ventana

Alejandro Salazar Rodriguez

hola amigo puedes usar cualquiera de estas 2 reglas en el firewall de tu RB Cloud core.
Bloque todo p2p
/ip firewall filter
add action=drop chain=forward comment=" Bloqueo Todo P2P" disabled=no p2p=all-p2p
o si solo quieres limitar la velocidad para estos programas p2p puedes usar esta regla.
Queue Tree

/queue tree
add name="p2p_down" parent=DOWNLOAD packet-mark=p2p_in limit-at=10k queue=default
priority=8 max-limit=32k burst-limit=0 burst-threshold=0 burst-time=0s
add name="p2p_up" parent=UPLOAD packet-mark=p2p_out limit-at=10k queue=default
priority=8 max-limit=32k burst-limit=0 burst-threshold=0 burst-time=0s
hace 6 meses Responder Me gusta

Si tienes una versin reciente de MikroTik, como v4.xx puedes bloquear buena
parte de los P2P usando nicamente la tpica regla general de bloqueo de P2P.
CODE, HTML o PHP Insertado:

/ip firewall filter

add action=drop chain=forward comment="Todo P2P" disabled=no p2p=all-p2p

Preparacin de MikroTik
Este tutorial tomar en cuenta que ya tenemos un servidor MikroTik configurado y funcionando,
ya si no se cuenta con uno, entonces se tendr que utilizar ThunderCache ya sea en Modo
Bridge, o en Modo Router.

En el esquema mostrado se puede apreciar que ThunderCache slo contar con una sola
interfaz de red, que ser utilizada para aceptar tanto peticiones de nuestros clientes as como
las solicitudes a Internet; aunque si se cree conveniente se puede utilizar interfaces de red
diferentes, para poder utilizar el servidor ya sea en modo Paralelo, Bridge, o Gateway.

ThunderCache ir conectado a un servidor MikroTik de administracin, que puede ser un PC

servidor o un RouterBOARD (RB) . Si se cuenta con varios links de internet, estos deberan ir
en un PC servidor o RB adicional que slo se encargar del balanceo de carga; por ejemplo, un
RB750.
Para agregar una puerta de enlace adicional para thunder, slo es necesario agregar la IP
respectiva y asignar la interfaz de red correspondiente, esto enIP Address.
/ip address
add address=10.0.0.1/24 interface=PROXY

Donde 10.0.0.1/24 es la puerta de enlace para Thunder (ver imagen), y PROXY es el nombre
de la interfaz de red, o tarjeta de red destinada a nuestro nuevo servidor, ustedes tendran que
adaptarlo a su situacin, ya sea tanto en el IP de puerta de enlace, as como con el nombre de
la interfaz de red.
Si el servidor MikroTik de administracin est haciendo NAT, se est tomar en cuenta que el
enmascarado es de este tipo:
/ip firewall nat
add chain=srcnat out-interface=WAN action=masquerade

Muy importante: Se debe especificar siempre la interfaz de red WAN en el enmascarado o

en cualquier otro tipo de NAT.

Nota: Se recomienda dejar slo un enmascarado. Si se enmascara slo una interfaz LAN o
un rango de red, debera removerlos.
Si llegan a tener problemas con esto, aunque es lo ms bsico, pueden darle una revisada a
mis manuales o hacer su pregunta en el Foro de Soporte. Si no se est seguro, sera excelente
que probaran el internet de esa interfaz antes de proceder a la instalacin. Una vez
comprobada que la interfaz est correctamente configurada, conectar ah el server thunder y
proceder a la instalacin.

Redireccin de Trfico y Full

Cache con MikroTik
1. Redireccionando a nuestros clientes
Pues ya que nuestro servidor ThunderCache est configurado y activado, slo restara
configurar MikroTik para redireccionar el trfico de nuestros clientes.
En realidad el proceso es muy fcil, slo son necesarias 2 reglas por lo general, ya si se tuviera
varias interfaces LAN, entonces tocara repetir la operacin tantas veces como interfaces
LAN se tuviera, o en todo caso ingeniarse una regla distinta.
/ip route
add check-gateway=ping gateway=10.0.0.222 routing-mark=thunder_route

Donde 10.0.0.222 es el IP que le asignamos a nuestro servidor, y thunder_route la marca de

ruteo que utilizaremos para llevar el trfico de nuestros clientes a Thunder.

Muy Importante: Remover enmascarados innecesarios en IP Firewall NAT antes de

activar la siguiente regla. Ms informacin: Ver aqu.
/ip firewall mangle
add action=mark-routing chain=prerouting dst-port=80 in-interface=ether2
protocol=tcp new-routing-mark=thunder_route

Donde LAN es el nombre de la interfaz de red de nuestros clientes, y thunder_route es la marca

de routeo que creamos anteriormente.

2. Configurado Full Cache con Thunder 7.1

El muy conocido Full Cache, que har que todo el contenido que salga del disco duro de
nuestro servidor vaya a una velocidad superior al lmite impuesto a nuestros clientes. As que si
bien un cliente puede tener 256kbps de download como limitacin, con Full Cache podremos
hacer que este cliente alcance velocidades muy superiores sin utilizar internet.
/ip firewall mangle
add action=mark-packet chain=forward dscp=18 new-packet-mark=fullcache
passthrough=no

Donde el valor 18 es el valor DSCP que ThunderCache utiliza por defecto para marcar todo el
trfico saliente del cach.
Una vez marcados los paquetes, slo tendremos que darle uso a esa marca, entonces
procederemos a configurar la respectiva regla en Queue Tree.

/queue tree
add name=fullcache packet-mark=fullcache parent=global-out priority=8 maxlimit=5M queue=default

Donde 5M quiere decir la velocidad mxima que tendrn los elementos que salgan del cache,
ya cada uno puede colocar el lmite que crea conveniente. Si no se quiere tener restriccin de
velocidad o tenerlo ilimitado, entonces se tendra que colocar el valor 0.
Ya con esto nuestro servidor Thunder estara todo configurado y funcionando, cualquier
problema con esta u otras guas, utilizar el Foro de Soporte.