Mikrotik RouterOs basics v0.3 español

© Index 2005© Index 2005

RouterOSRouterOS

Introducción al sistema operativo Introducción al sistema operativo RouterOS MikrotikRouterOS Mikrotik


Que es el RouterOS?Que es el RouterOS?

El RouterOS es un sistema operativo y software El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalámbrico o cliente de banda, punto de acceso inalámbrico o cliente y mucho mas…y mucho mas…

El RouterOS puede hacer casi cualquier cosa El RouterOS puede hacer casi cualquier cosa que tenga que ver con tus necesidades de red, que tenga que ver con tus necesidades de red, además de cierta funcionalidad como servidor.además de cierta funcionalidad como servidor.


Estructura del RouterOSEstructura del RouterOS

Basado en kernel de LinuxBasado en kernel de Linux.. Puede ejecutarse desde Puede ejecutarse desde

discos IDE o módulos de discos IDE o módulos de memoria flashmemoria flash..

Diseño modularDiseño modular.. Módulos actualizablesMódulos actualizables.. Interfase grafica amigableInterfase grafica amigable..


LicenciamientoLicenciamiento

La Licencia es por instalaciónLa Licencia es por instalación.. Algunas funcionalidades requieren de cierto Algunas funcionalidades requieren de cierto

nivel de licenciamientonivel de licenciamiento.. La Licencia nunca expira , esto significa que el La Licencia nunca expira , esto significa que el

rruteadoruteador funcionara “de por vida” funcionara “de por vida”.. EL ruteador puede ser actualizado durante el EL ruteador puede ser actualizado durante el

periodo de actualización (1 año después de la periodo de actualización (1 año después de la compra de la licencia)compra de la licencia)..

El periodo de actualización puede ser extendido El periodo de actualización puede ser extendido a un 60% del costo de la licenciaa un 60% del costo de la licencia..


Niveles de LicenciamientoNiveles de Licenciamiento Nivel 0: DEMO, GRATIS, tiene todas las Nivel 0: DEMO, GRATIS, tiene todas las

funcionalidades sin limite, funciona solo 24 hrs, funcionalidades sin limite, funciona solo 24 hrs, después de ello debe de ser REINSTALADOdespués de ello debe de ser REINSTALADO

Nivel 1: Licencia SOHO, GRATIS, pero requiere Nivel 1: Licencia SOHO, GRATIS, pero requiere registrarse en registrarse en www.mikrotik.com , tiene , tiene limitaciones, (1src-nat, 1dst-nat, 1 pppoe, …)limitaciones, (1src-nat, 1dst-nat, 1 pppoe, …)


Niveles de Licenciamiento, cont.Niveles de Licenciamiento, cont.

Nivel 4: WISP, cliente inalámbrico, Nivel 4: WISP, cliente inalámbrico, Punto de Punto de AccesoAcceso Inalámbrico, gateway de HotSpot. Inalámbrico, gateway de HotSpot.

Nivel 5: WISP AP, Access Point inalámbrico y Nivel 5: WISP AP, Access Point inalámbrico y cliente, Gateway de HotSpot (mas conexiones cliente, Gateway de HotSpot (mas conexiones soportadas)soportadas)

NivelNivel 6: CONTROLLER, Todo sin limite! 6: CONTROLLER, Todo sin limite! Nota: Una Licencia basta para cualquier numero Nota: Una Licencia basta para cualquier numero

de interfaces inalámbricas en el ruteador.de interfaces inalámbricas en el ruteador.


Características de RouterOSCaracterísticas de RouterOS

Ruteo. Estático o dinámico, políticas de Ruteo. Estático o dinámico, políticas de enrutamiento.enrutamiento.

Bridging. Protocolo Spanning tree, interfaces Bridging. Protocolo Spanning tree, interfaces múltiples bridge, firewall en el bridgemúltiples bridge, firewall en el bridge

Servidores y clientes: DHCP, PPPoE, PPTP, Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP.PPP, Relay de DHCP.

Cache: Web-proxy, DNSCache: Web-proxy, DNS Gateway de HotSpotGateway de HotSpot Lenguaje interno de scriptsLenguaje interno de scripts


Características del RouterOSCaracterísticas del RouterOS

Filtrado de paquetes porFiltrado de paquetes por Origen, IP de destinoOrigen, IP de destino Protocolos, puertosProtocolos, puertos Contenidos (Contenidos (seguimientoseguimiento de conexiones de conexiones P2PP2P))

Puede detectar ataques de denegación de Puede detectar ataques de denegación de servicio (DoS)servicio (DoS) Permite solamente cierto numero de paquetes por Permite solamente cierto numero de paquetes por

periodo de tiempoperiodo de tiempo Que pasa enseguida si el limite es desbordado o Que pasa enseguida si el limite es desbordado o

sobrepasadosobrepasado


Calidad de Servicio (QoS)Calidad de Servicio (QoS)

Varios tipos de tipos de queue:Varios tipos de tipos de queue: RED, BFIFO, PFIFO, PCQRED, BFIFO, PFIFO, PCQ

Sencillo de aplicar queues simples:Sencillo de aplicar queues simples: Por origen/destino red/dirección ip de cliente, Por origen/destino red/dirección ip de cliente,

interfaseinterfase Árboles de queues mas complejos:Árboles de queues mas complejos:

Por protocolo, puerto, tipo de conexiónPor protocolo, puerto, tipo de conexión..


Interfaces del RouterOSInterfaces del RouterOS

Ethernet 10/100, GigabitEthernet 10/100, Gigabit Inalámbrica (Atheros, Prism, CISCO/Aironet)Inalámbrica (Atheros, Prism, CISCO/Aironet)

Punto de acceso o modo estación/clientePunto de acceso o modo estación/cliente, WDS, WDS

SSííncronas: V35, T1, Frame Relayncronas: V35, T1, Frame Relay Asíncronas: Onboard serial, 8-port PCIAsíncronas: Onboard serial, 8-port PCI ISDNISDN xDSLxDSL Virtual LAN (VLAN)Virtual LAN (VLAN)


Como acceder al RouterComo acceder al Router

Los Los ruteadoresruteadores MikroTik pueden ser MikroTik pueden ser accedidos víaaccedidos vía:: Monitor y tecladoMonitor y teclado Terminal SerialTerminal Serial TelnetTelnet Telnet de MACTelnet de MAC SSHSSH Interfase grafica WinBoxInterfase grafica WinBox


Herramientas de manejo de redHerramientas de manejo de red

RouterOS ofrece un buen RouterOS ofrece un buen numero de herramientas :numero de herramientas : Ping, traceroutePing, traceroute Medidor de ancho de bandaMedidor de ancho de banda Contabilización de traficoContabilización de trafico SNMPSNMP TorchTorch Sniffer de PaquetesSniffer de Paquetes


Interface CLIInterface CLI

La primera vez que se entra use ‘admin’ sin La primera vez que se entra use ‘admin’ sin password.password.

Una vez dentro teclee ‘?’ para ver los comandos Una vez dentro teclee ‘?’ para ver los comandos disponibles en este nivel de menúdisponibles en este nivel de menú [MikroTik] > ?[MikroTik] > ? [MikroTik] > interface ?[MikroTik] > interface ? [MikroTik] > [MikroTik] >

Argumentos disponibles para cada comando se Argumentos disponibles para cada comando se obtienen de la misma manera: ‘?’obtienen de la misma manera: ‘?’


Navegación vía menús CLI Navegación vía menús CLI

Vaya a un nivel diferente de comandos Vaya a un nivel diferente de comandos usando sintaxis absoluta o relativa:usando sintaxis absoluta o relativa: [MikroTik] > interface {Enter}[MikroTik] > interface {Enter} [MikroTik] interface > wireless {Enter}[MikroTik] interface > wireless {Enter} [MikroTik] interface wireless > .. eth {Enter}[MikroTik] interface wireless > .. eth {Enter} [MikroTik] interface ethernet > print {Enter}[MikroTik] interface ethernet > print {Enter}


LA tecla [Tab]LA tecla [Tab]

Comandos y argumentos no necesitan ser Comandos y argumentos no necesitan ser completamente tecleados, con teclear la completamente tecleados, con teclear la tabla [Tab] se completan.tabla [Tab] se completan.

Si un simple [Tab] no completa el Si un simple [Tab] no completa el comando, presiónelo 2 veces para ver las comando, presiónelo 2 veces para ver las opciones disponibles.opciones disponibles.


Comandos mas popularesComandos mas populares

Comandos mas populares en RouterOS Comandos mas populares en RouterOS en los menús CLI son:en los menús CLI son: Print y exportPrint y export set y editset y edit add / removeadd / remove enable / disableenable / disable movemove commentcomment monitormonitor


‘‘Print’ y ‘Monitor’Print’ y ‘Monitor’

‘‘print’ es uno de los mas usados en CLI. print’ es uno de los mas usados en CLI. Imprime una lista de cosas y puede ser usado Imprime una lista de cosas y puede ser usado con diferentes argumentos,ejemplocon diferentes argumentos,ejemplo print status,print status, print interval=2s,print interval=2s, print without-paging, etc.print without-paging, etc.

Use ‘print ?’ para ver los argumentos Use ‘print ?’ para ver los argumentos disponiblesdisponibles

‘‘monitor’ usado repetidamente muestra el monitor’ usado repetidamente muestra el estatusestatus ‘‘/interface wireless monitor wlan1’/interface wireless monitor wlan1’


……ContCont

Use ‘add’, ‘set’, o ‘remove’ para adicionar, Use ‘add’, ‘set’, o ‘remove’ para adicionar, cambiar, o remover cambiar, o remover reglasreglas

ReglasReglas pueden ser deshabilitados sin pueden ser deshabilitados sin removerlos, usando el comando ‘disabled’.removerlos, usando el comando ‘disabled’.

AlgunAlgunaas s reglasreglas pueden ser movid pueden ser movidaas con el s con el comando ‘move’.comando ‘move’.


WinBox GUIWinBox GUI

WinBox es mucho mas fácil que el CLI, al ser WinBox es mucho mas fácil que el CLI, al ser una interfase grafica.una interfase grafica.

winbox.exe es un pequeño programa que se winbox.exe es un pequeño programa que se ejecuta desde una estación de trabajo ejecuta desde una estación de trabajo conectada al ruteador.conectada al ruteador.

winbox.exe corre bajo WINE en Linuxwinbox.exe corre bajo WINE en Linux Winbox usa el puerto TCP 8291 para conectarse Winbox usa el puerto TCP 8291 para conectarse

al ruteadoral ruteador Comunicación entre el winbox y el ruteador esta Comunicación entre el winbox y el ruteador esta

encriptadaencriptada


Instalación del Instalación del ruteadorruteador MikroTikMikroTik

El ruteadorEl ruteador MikroTik puede ser instalado MikroTik puede ser instalado usando:usando: Floppy disks (Floppy disks (muy tediosomuy tedioso)) CD creado desde una imagen ISO, contiene todos los CD creado desde una imagen ISO, contiene todos los

paquetes.paquetes. Vía red usando netinstall, la pc donde se instalarVía red usando netinstall, la pc donde se instalaráá

debe botear con un floppy, o usando Protocolos PXE debe botear con un floppy, o usando Protocolos PXE o EtherBoot desde algunas ROMS de ciertas tarjetas o EtherBoot desde algunas ROMS de ciertas tarjetas de red.de red.

Con imagen de DiscoCon imagen de Disco Con Memoria Flash/IDECon Memoria Flash/IDE


NetinstallNetinstall

Netinstall es un programa que convierte tu Netinstall es un programa que convierte tu estación de trabajo en un servestación de trabajo en un servidor idor de de instalación.instalación.

Netinstall usa los paquetes de programas desde Netinstall usa los paquetes de programas desde tu estacion de trabajo y los instala en:tu estacion de trabajo y los instala en: LaLa PC que boteo usando PXE or Etherboot PC que boteo usando PXE or Etherboot El disco secundario de tu estación de trabajoEl disco secundario de tu estación de trabajo

Netinstall.exe y los programas de paquetes Netinstall.exe y los programas de paquetes pueden ser bajados desde mikrotik.compueden ser bajados desde mikrotik.com


Laboratorio de InstalaciónLaboratorio de Instalación

Habilite el RouterBoard para botar desde la redHabilite el RouterBoard para botar desde la red El RouterBoard y tu estación de trabajo deben estar El RouterBoard y tu estación de trabajo deben estar

en en elel mismo segmento de red o conectados con un mismo segmento de red o conectados con un cable cruzadocable cruzado

Ejecute netinstall en tu estación de trabajoEjecute netinstall en tu estación de trabajo Seleccione el ruteador donde se instalaraSeleccione el ruteador donde se instalara Seleccione los paquetes de programa a instalarSeleccione los paquetes de programa a instalar Habilite el Boot Server y la dirección del cliente Habilite el Boot Server y la dirección del cliente

(poner direccion ip del mismo segmento que tenga la (poner direccion ip del mismo segmento que tenga la pc a instalarsepc a instalarse


Configuracion de NetinstallConfiguracion de Netinstall


Actualizando el RouterActualizando el Router

Ponga los archivos de las nuevas versiones en Ponga los archivos de las nuevas versiones en el router por medio de FTP usando modo binario el router por medio de FTP usando modo binario de transmision y reinicie el router “/system de transmision y reinicie el router “/system reboot”reboot”

Alternativamente puedes usar la instrucción Alternativamente puedes usar la instrucción “/system upgrade” para transferir los archivos “/system upgrade” para transferir los archivos desde un server FTP o desde otro ruteador si desde un server FTP o desde otro ruteador si los tienes ahí. los tienes ahí.


Configuración BásicaConfiguración Básica

Interfaces deben estar habilitadas y Interfaces deben estar habilitadas y funcionando (cables conectados, interfase funcionando (cables conectados, interfase inalámbrica configurada)inalámbrica configurada)

Direcciones IP asignadas a las interfaces:Direcciones IP asignadas a las interfaces:[MikroTik] > /ip address \[MikroTik] > /ip address \add address=10.1.0.2/24 interface=ether1add address=10.1.0.2/24 interface=ether1

Adicione la ruta de defaultAdicione la ruta de default[MikroTik] > /ip route \[MikroTik] > /ip route \add gateway=10.1.0.1add gateway=10.1.0.1


Comando ‘Setup’Comando ‘Setup’

Use el comando ‘setup’ para la Use el comando ‘setup’ para la configuración inicialconfiguración inicial

Algunos otros menús tienen opción de Algunos otros menús tienen opción de setup, entre ellos:setup, entre ellos: HotSpot setupHotSpot setup DHCP server setupDHCP server setup


Interfase bridgeInterfase bridge

Interfaces Bridge son anadidas con el comando:Interfaces Bridge son anadidas con el comando:[MikroTik] > /interface bridge add[MikroTik] > /interface bridge add

Puede haber mas de una interfase BridgePuede haber mas de una interfase Bridge Tu puedesTu puedes

Cambiar el nombre de la interfase Bridge;Cambiar el nombre de la interfase Bridge; Habilitar el STP (Spanning Tree Protocol) y Habilitar el STP (Spanning Tree Protocol) y

configurarlo configurarlo Activar los protocolos a pasar de un bridge a otro.Activar los protocolos a pasar de un bridge a otro.


Puertos de BridgePuertos de Bridge Cada Interfase Cada Interfase

puede ser puede ser configurada para ser configurada para ser miembro de un miembro de un bridgebridge

Interfaces Interfaces inalámbricas en inalámbricas en modo estación no modo estación no pueden ser parte de pueden ser parte de un bridge.un bridge.

Prioridad y costo de Prioridad y costo de path pueden ser path pueden ser ajustadas para su ajustadas para su uso con STPuso con STP


Laboratorio de Configuración de Laboratorio de Configuración de una Red Privadauna Red Privada

Conecta tu ruteador vía cable cruzadoConecta tu ruteador vía cable cruzado Ejecuta Mac-Telnet para conectarte a elEjecuta Mac-Telnet para conectarte a el Remueve todas las direcciones de las Remueve todas las direcciones de las

interfainterfasseses Selecciona una red privada para tiSelecciona una red privada para ti

10…., or 192.168…., or 172.16….10…., or 192.168…., or 172.16…. Asigna una dirección privada para la Asigna una dirección privada para la

ether1ether1


Laboratorio de DHCPLaboratorio de DHCP

Ejecuta el setup /ip dhcp-server setupEjecuta el setup /ip dhcp-server setup Usa las ips de tus ruteadores como Usa las ips de tus ruteadores como

servidores DNS en la configuración de servidores DNS en la configuración de DHCPDHCP

Vea si la estación de trabajo recibe una IPVea si la estación de trabajo recibe una IP Vea las ips asignadasVea las ips asignadas

/ip dhcp-server lease print/ip dhcp-server lease print


Estructura de firewallEstructura de firewall


Principios del FirewallPrincipios del Firewall

Las reglas de firewall están organizadas en Las reglas de firewall están organizadas en cadenas (chains)cadenas (chains)

Reglas en cadenas son procesadas en el orden Reglas en cadenas son procesadas en el orden que aparecenque aparecen Si una regla la cumple un paquete, la accion Si una regla la cumple un paquete, la accion

especificada es tomadaespecificada es tomada Si el paquete no cumple la regla , o hay una Si el paquete no cumple la regla , o hay una

acción=passthrough, la siguiente regla es procesadaacción=passthrough, la siguiente regla es procesada

La acción de default para la cadena es hecha La acción de default para la cadena es hecha después de haber alcanzado el fin de la cadenadespués de haber alcanzado el fin de la cadena


Cadenas de FirewallCadenas de Firewall Por default hay 3 cadenas incluidas:Por default hay 3 cadenas incluidas:

input – procesa paquetes que tienen como destino el input – procesa paquetes que tienen como destino el ruteadorruteador

output – procesa paquetes que son mandados por el output – procesa paquetes que son mandados por el mismo ruteadormismo ruteador

forward – procesa trafico que ‘pasa’ a forward – procesa trafico que ‘pasa’ a travéstravés del ruteador del ruteador Los usuarios pueden añadir sus propias cadenas de Los usuarios pueden añadir sus propias cadenas de

firewall y reglas a ellasfirewall y reglas a ellas Reglas en las cadenas añadidas por el usuario Reglas en las cadenas añadidas por el usuario

pueden ser procesadas usando la opción=jump pueden ser procesadas usando la opción=jump desde la cadena del usuario a otra regla en otra desde la cadena del usuario a otra regla en otra cadenacadena


Acciones de las reglas de Acciones de las reglas de FirewallFirewall

Si una regla de firewall se cumple para un paquete, Si una regla de firewall se cumple para un paquete, una de las siguientes acciones puede hacerse:una de las siguientes acciones puede hacerse: passthrough – action es ejecutada y la siguiente regla es passthrough – action es ejecutada y la siguiente regla es

procesadaprocesada accept – paquete es aceptadoaccept – paquete es aceptado drop – paquete es ignoradodrop – paquete es ignorado reject – paquete es ignorado y se le manda un mensaje reject – paquete es ignorado y se le manda un mensaje

ICMP al que lo mandoICMP al que lo mando jump – paquete es mandado para su procesamiento a jump – paquete es mandado para su procesamiento a

otra cadenaotra cadena return – paquete es retornado a la tabla previa , desde return – paquete es retornado a la tabla previa , desde

donde fue recibidodonde fue recibido


Protegiendo el ruteadorProtegiendo el ruteador

El acceso al router es controlado por las El acceso al router es controlado por las reglas de filtrado de la cadena input.reglas de filtrado de la cadena input.

Nota, Los filtros de IP no filtran Nota, Los filtros de IP no filtran comunicaciones de nivel 2 OSI, por comunicaciones de nivel 2 OSI, por ejemplo MAC Telnetejemplo MAC Telnet Deshabilite el MAC-Server al menos en la Deshabilite el MAC-Server al menos en la

interfase publica para asegurar buena interfase publica para asegurar buena seguridad.seguridad.


Cadena InputCadena Input

Haga reglas en esta cadena como estas:Haga reglas en esta cadena como estas: Permitir “established” y “related” connectionsPermitir “established” y “related” connections Permitir UDPPermitir UDP Permitir pings limitados, hacer drop de Permitir pings limitados, hacer drop de

exceso de pingsexceso de pings Permitir acceso de redes “seguras”Permitir acceso de redes “seguras” Permitir acceso via PPTP VPNPermitir acceso via PPTP VPN Drop y log todo lo demasDrop y log todo lo demas


Ejemplo de cadena InputEjemplo de cadena Input

/ip firewall rule input/ip firewall rule inputadd connection-state=established comment="Established connections"add connection-state=established comment="Established connections"add connection-state=related comment="Related connections"add connection-state=related comment="Related connections"add protocol=udp comment=“Allow UDP" add protocol=udp comment=“Allow UDP" add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \ comment="Allow limited pings"comment="Allow limited pings"add protocol=icmp action=drop \add protocol=icmp action=drop \ comment="Drop excess pings"comment="Drop excess pings"add src-addr=159.148.147.192/28 comment="From trusted network“add src-addr=159.148.147.192/28 comment="From trusted network“add src-addr=192.168.1.0/24 comment="From our private network"add src-addr=192.168.1.0/24 comment="From our private network"add protocol=tcp tcp-options=syn-only dst-port=1723 \add protocol=tcp tcp-options=syn-only dst-port=1723 \ comment="Allow PPTP"comment="Allow PPTP"add protocol=47 comment="Allow PPTP"add protocol=47 comment="Allow PPTP"add action=drop log=yes comment="Log and drop everything else"add action=drop log=yes comment="Log and drop everything else"


Ejemplo de cadena definida por Ejemplo de cadena definida por el usuarioel usuario

/ip firewall rule virus/ip firewall rule virus

add protocol=tcp dst-port=135-139 action=drop add protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"

add protocol=udp dst-port=135-139 action=drop add protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"comment="Drop Messenger Worm"

add protocol=tcp dst-port=445 action=drop add protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"

add protocol=udp dst-port=445 action=drop add protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"


Filtrado de virus conocidosFiltrado de virus conocidos Paquetes iniciados por virus conocidos, pueden ser Paquetes iniciados por virus conocidos, pueden ser

filtrados por reglas en alguna cadena definida por el filtrados por reglas en alguna cadena definida por el usuario:usuario:/ip firewall rule virus/ip firewall rule virusadd protocol=tcp dst-port=135-139 action=drop \add protocol=tcp dst-port=135-139 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=135-139 action=drop \add protocol=udp dst-port=135-139 action=drop \ comment="Drop Messenger Worm"comment="Drop Messenger Worm"add protocol=tcp dst-port=445 action=drop \add protocol=tcp dst-port=445 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=445 action=drop \add protocol=udp dst-port=445 action=drop \ comment="Drop Blaster Worm“comment="Drop Blaster Worm“add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=12345 action=drop comment="NetBus"add protocol=tcp dst-port=12345 action=drop comment="NetBus"


Jump a la cadena definida por Jump a la cadena definida por el usuarioel usuario

Jump a la cadena definida por el usuario desde Jump a la cadena definida por el usuario desde las cadenas input y forward despues de las las cadenas input y forward despues de las primeras dos reglas:primeras dos reglas:add connection-state=established \add connection-state=established \

comment="Established connections"comment="Established connections"

add connection-state=related \add connection-state=related \

comment="Related connections"comment="Related connections"

add action=jump jump-target=virus \add action=jump jump-target=virus \

comment=“Checando por virus“comment=“Checando por virus“

……


Laboratorio de FirewallLaboratorio de Firewall

Proteja su router de accesos no autorizados con Proteja su router de accesos no autorizados con cadenas de input:cadenas de input: Permita acceso solo desde la red que estas usando Permita acceso solo desde la red que estas usando

en la laptop y el routeren la laptop y el router Log todo acceso no autorizadoLog todo acceso no autorizado Prueba si el acceso ha sido bloqueado desde fueraPrueba si el acceso ha sido bloqueado desde fuera

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________


Marcado de paquetesMarcado de paquetes Paquetes pueden cambiar sus parámetros Paquetes pueden cambiar sus parámetros

iniciales, ejemplo, sus direcciones dentro del iniciales, ejemplo, sus direcciones dentro del firewall, de la misma manera los paquetes firewall, de la misma manera los paquetes pueden ser marcados para identificarlos pueden ser marcados para identificarlos después dentro del routerdespués dentro del router

Marcar es la única manera de identificar Marcar es la única manera de identificar paquetes dentro de los queues de árbolpaquetes dentro de los queues de árbol

Marcado de paquetes puede ser usado como un Marcado de paquetes puede ser usado como un clasificador para diferentes políticas de ruteoclasificador para diferentes políticas de ruteo

Siempre cheque el diagrama de la estructura del Siempre cheque el diagrama de la estructura del firewall para entender los procedimientos firewall para entender los procedimientos correctos de configuración del firewallcorrectos de configuración del firewall


‘ ‘ Tracking’ de ConexionesTracking’ de Conexiones Connection Tracking (CONNTRACK) es un sistema que crea una Connection Tracking (CONNTRACK) es un sistema que crea una

tabla de conexiones activastabla de conexiones activas Un status es asignado para cada paquete:Un status es asignado para cada paquete:

Invalid – paquete ya no forma parte de ninguna conexión conocidaInvalid – paquete ya no forma parte de ninguna conexión conocida New – el paquete esta abriendo una nueva conexiónNew – el paquete esta abriendo una nueva conexión Established – el paquete pertenece a una conexión establecidaEstablished – el paquete pertenece a una conexión establecida Related – el paquete crea una nueva conexión relativa a alguna Related – el paquete crea una nueva conexión relativa a alguna

conexion ya abiertaconexion ya abierta El status no es necesario solamente para conexiones TCP. De El status no es necesario solamente para conexiones TCP. De

cualquier manera ‘connection’ es considerada aquí como un cualquier manera ‘connection’ es considerada aquí como un intercambio de datos de dos viasintercambio de datos de dos vias

Status es usado en los filtros de firewallStatus es usado en los filtros de firewall CONNTRACK es usado para marcar los paquetesCONNTRACK es usado para marcar los paquetes CONNTRACK es necesario para hacer NATCONNTRACK es necesario para hacer NAT


Nat de origenNat de origen

SRC-NAT permite el cambio de dirección origen SRC-NAT permite el cambio de dirección origen y puerto a la dirección local y puerto del y puerto a la dirección local y puerto del ruteador (enmascaramiento), o algún otra ruteador (enmascaramiento), o algún otra dirección y puerto especificadodirección y puerto especificado

Aplicación típica de SRC-NAT es esconder una Aplicación típica de SRC-NAT es esconder una red privada detrás de una o mas direcciones red privada detrás de una o mas direcciones publicaspublicas

La dirección origen trasladada debe pertenecer La dirección origen trasladada debe pertenecer al ruteador, a menos que otras medidas sean al ruteador, a menos que otras medidas sean tomadas para asegurar el uso de diferentes tomadas para asegurar el uso de diferentes direcciones.direcciones.


Ejemplo de SRC-NATEjemplo de SRC-NAT

Especifique la dirección origen a ser Especifique la dirección origen a ser enmascarada:enmascarada:/ip firewall src-nat /ip firewall src-nat add src-address=192.168.0.0/24 add src-address=192.168.0.0/24

action=masqueradeaction=masquerade O, Especifique la interfase de salida, O, Especifique la interfase de salida,

cuando enmascaramiento deba ser usado:cuando enmascaramiento deba ser usado:/ip firewall src-nat /ip firewall src-nat add out-interface=Public action=masqueradeadd out-interface=Public action=masquerade


Laboratorio SRC-NATLaboratorio SRC-NAT

Configura tu ruteador Configura tu ruteador para enmascarar para enmascarar trafico originado trafico originado desde tu red privada, desde tu red privada, cuando esta salga del cuando esta salga del ruteador por la ruteador por la interfase publica.interfase publica.

Usa el diagrama Usa el diagrama como guíacomo guía


DST-NATDST-NAT

DST-NAT permite cambiar la diDST-NAT permite cambiar la direcciónrección y el y el puerto del receptor a alguna otra dirección puerto del receptor a alguna otra dirección y puerto conocido localmente por el y puerto conocido localmente por el ruteadorruteador o o se llegue a else llegue a el vía ruteo vía ruteo

Típicamente usado para acceder servicios Típicamente usado para acceder servicios en una red privada desde direcciones en una red privada desde direcciones publicas accediendo las direcciones publicas accediendo las direcciones publicas que enmascaran alguna redpublicas que enmascaran alguna red


Ejemplo de Destination NATEjemplo de Destination NAT

Redireccione el puerto TCP 2323 al puerto 23 Redireccione el puerto TCP 2323 al puerto 23 del router:del router:/ip firewall dst-nat /ip firewall dst-nat

add protocol=tcp dst-address=10.5.51/32:2323 add protocol=tcp dst-address=10.5.51/32:2323 action=redirect to-dst-port=23action=redirect to-dst-port=23

O, haga NAT al puerto interno (23) del server:O, haga NAT al puerto interno (23) del server:/ip firewall dst-nat /ip firewall dst-nat

add protocol=tcp dst-address=10.5.51/32:2323 add protocol=tcp dst-address=10.5.51/32:2323 action=nat to-dst-port=23 to-dst-address= action=nat to-dst-port=23 to-dst-address= 192.168.0.250192.168.0.250


Laboratorio de DST-NATLaboratorio de DST-NAT

Configura tu ruteador Configura tu ruteador para trasladar para trasladar paquetes con destino paquetes con destino la ip publica y puerto la ip publica y puerto 81 hacia la dirección 81 hacia la dirección interna y puerto 80 interna y puerto 80 del servidor localdel servidor local

use el diagrama use el diagrama como guíacomo guía


Mas acerca de DST-NATMas acerca de DST-NAT

DST-NATDST-NAT permite mandar datos a algún permite mandar datos a algún servidor a otro servidor y puerto. servidor a otro servidor y puerto.

DST-NAT permite esconder varios DST-NAT permite esconder varios servidores detrás de una dirección IP. Los servidores detrás de una dirección IP. Los servidores son seleccionados por puerto, servidores son seleccionados por puerto, o por algún otro parámetro, como origen o por algún otro parámetro, como origen del paquete, etc.del paquete, etc.


Reparando FirewallReparando Firewall

Mire los contadores de paquetes y bytes Mire los contadores de paquetes y bytes para las reglas de firewallpara las reglas de firewall

Mueva las reglas para que se ejecuten en Mueva las reglas para que se ejecuten en el orden correctoel orden correcto

LogLogueeuee los paquetes para ver que los paquetes para ver que protocolo, direcciones y puerto tienen.protocolo, direcciones y puerto tienen.

Mikrotik RouterOs basics v0.3 español

Technology