Práctica a DesarrollarPráctica a Desarrollar

Utilización de la herramienta de configuración WinBox

PPPoE – DHCP Client, según proveedor de Internet

Firewall/Mangle/NAT - Ejemplos

Configuración de un servidor DHCP

Simple Queue, control básico de ancho de banda

Acceso remoto a un dispositivo de la LAN

Backup de la configuración

Actualización de firmware

DHCP ClientDHCP Client

PPPoE ClientPPPoE Client

NAT (Network address Translation)NAT (Network address Translation)

DHCP ServerDHCP Server

Simple Queue (Control de ancho de banda)Simple Queue (Control de ancho de banda)

Simple Queue usando BurstSimple Queue usando Burst

Simple Queue usando BurstSimple Queue usando Burst

FirewallFirewall

input - cadena usada para procesar paquetes que entran al router por alguna de sus interfaces cuya dirección IP destino es una de las que posee el router

forward – cadena usada para procesar paquetes que pasan a través del router

output – cadena usada para procesar paquetes originados desde el router y que salen a través de alguna de sus interfaces

Complementar con:http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

Firewall – Protegiendo al RouterFirewall – Protegiendo al Router

Digamos que nuestra red privada es 192.168.0.0/24 y la WAN es la Ether1. Vamos a configurar el firewall para permitir conexiones hacia el mismo router sólo de nuestra red local y dropear el resto. También vamos a permitir el protocolo ICMP en cualquier interfaz para que cualquier persona pueda hacer ping al router desde Internet.

/ip firewall filter

add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections"

add chain=input connection-state=established action=accept \ comment="Allow Established connections"

add chain=input protocol=icmp action=accept \ comment="Allow ICMP"

add chain=input src-address=192.168.0.0/24 action=accept \ in-interface=!ether1

add chain=input action=drop comment="Drop everything else"

Firewall – Protegiendo a los ClientesFirewall – Protegiendo a los ClientesDeberíamos considerar el tráfico que pasa a través del router hacia los clientes y bloquear lo no deseado. Para el tráfico icmp, tcp, udp crearemos reglas para dropear paquetes no deseados:

/ip firewall filter add chain=forward protocol=tcp connection-state=invalid \ action=drop comment="drop invalid connections" add chain=forward connection-state=established action=accept \ comment="allow already established connections" add chain=forward connection-state=related action=accept \ comment="allow related connections"

Creamos reglas TCP y denegamos algunos puertos ellas:

add chain=forward protocol=tcp dst-port=69 action=drop \ comment="deny TFTP" add chain=forward protocol=tcp dst-port=111 action=drop \ comment="deny RPC portmapper" add chain=forward protocol=tcp dst-port=135 action=drop \ comment="deny RPC portmapper" add chain=forward protocol=tcp dst-port=137-139 action=drop \ comment="deny NBT" add chain=forward protocol=tcp dst-port=445 action=drop \ comment="deny cifs" add chain=forward protocol=tcp dst-port=2049 action=drop comment="deny NFS" add chain=forward protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" add chain=forward protocol=tcp dst-port=20034 action=drop comment="deny NetBus" add chain=forward protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" add chain=forward protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"

Firewall - NATFirewall - NAT

source NAT – se utiliza para paquetes originados en la red nateada. El router reemplaza la ip privada origen del paquete IP con una ip pública mientras pasa por el router. La operación contraria sucede con los paquetes que viajan en dirección inversa.

destination NAT – se utiliza para paquetes que van destinados a la red nateada. Comunmente se utiliza para que los host de la red interna sean accesibles desde internet. El router reemplaza la IP destino del paquete IP mientras pasa por el mismo hacia la red privada.

Firewall – Source NATFirewall – Source NATComo esconder la red privada tras una IP públicaComo esconder la red privada tras una IP pública

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public

/ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \ to-addresses=192.168.0.109

Destination NATDestination NATComo acceder desde afuera a un Host de la red PrivadaComo acceder desde afuera a un Host de la red Privada

/ip firewall nat add chain=srcnat src-address=192.168.0.109 action=src-nat \ to-addresses=10.5.8.200

Agrego esta regla si quiero que el Host se comunique Agrego esta regla si quiero que el Host se comunique con otras redes mantiendo como IP origen la IP con otras redes mantiendo como IP origen la IP

públicapública

Port Forward-Acceso Remoto a un Dispositivo LANPort Forward-Acceso Remoto a un Dispositivo LAN

Backup de ConfiguraciónBackup de Configuración

Tips de SeguridadTips de Seguridad