Configurar Firewall Básico

Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red entrante y saliente, que decide si permite o bloquea tráfico específico en función de un conjunto definido de reglas de seguridad.

El siguiente script contiene reglas básicas para proteger su router Mikrotik y evitar tráfico de reenvió innecesario:

Requisitos previos:

Para esta configuración es necesario tener configuradas la interfaces de red WAN y LAN con salida a internet desde el router Mikrotik

Script:

/ip firewall address-list add address=x.x.x.x/x disabled=no list=support

Donde:

 

address=x.x.x.x/x corresponde al segmento de red LAN

 

/ip firewall address-list add address=192.168.5.0/24 disabled=no list=support

Winbox:

Identificar el segmento de red de la red LAN:

La regla quedaría:

/ip firewall address-list add address=192.168.5.0/24 disabled=no list=support

En terminal:

Copiamos la regla con la red de la LAN y abrimos una nueva terminal en  winbox, dar clic derecho sobre la terminal y finalmente clic en pegar:

 

Al pegar la regla presionar enter:

 

 

Lista de direcciones de Bogon:

El filtrado de Bogons es la práctica de filtrar direcciones IP que son falsas

 

Script:

/ip firewall address-list

add address=0.0.0.0/8 comment=" Auto identificacion " disabled=no list=bogons

add address=10.0.0.0/8 comment="Privado Clase A #Compruebe si necesita esta subred antes de habilitarla"\

disabled=yes list=bogons

add address=127.0.0.0/8 comment="Loopback" disabled=no list=bogons

add address=169.254.0.0/16 comment=" Enlace local" disabled=no list=bogons

add address=172.16.0.0/12 comment="Privado  Clase B  #Compruebe si necesita esta subred antes de habilitarla "\

disabled=yes list=bogons

add address=192.168.0.0/16 comment=" Privado  Clase C # Compruebe si necesita esta subred antes de habilitarla"\

disabled=yes list=bogons

add address=192.0.2.0/24 comment=" Reservado - IANA TestNet1" disabled=no list=bogons

add address=192.88.99.0/24 comment="6to4 Relay Anycast " disabled=no list=bogons

add address=198.18.0.0/15 comment=" Prueba NIDB" disabled=no list=bogons

add address=198.51.100.0/24 comment=" Reservado - IANA - TestNet2" disabled=no list=bogons

add address=203.0.113.0/24 comment=" Reservado - IANA - TestNet3" disabled=no list=bogons

add address=224.0.0.0/4 comment=" Clase D, IANA # Compruebe si necesita esta subred antes de habilitarla"\

 disabled=yes list=bogons

Wimbox en terminal:

 Copiamos las reglas del script anterior y abrimos una nueva terminal en  winbox, dar clic derecho sobre la terminal y elegir pegar:

 

Para aplicar la última regla, presionar enter:

 

Verificamos que se crearon las reglas en el apartado IP > Firewall > Address Lists:

Protección contra: SynFlood, ICMP Flood, Port Scan, Email Spam y mucho más.

Script:

/ip firewall filter

add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input \

comment="Agregar Syn Flood IP" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn

add action=drop chain=input comment="Bloquear lista syn flood" disabled=no src-address-list=Syn_Flooder

add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect"\

disabled=no protocol=tcp psd=21,3s,3,1

add action=drop chain=input comment="Bloqueo de lista de escaneo de puertos" disabled=no src-address-list=Port_Scanner

add action=jump chain=input comment="Saltar flujo de entrada icmp" disabled=no jump-target=ICMP protocol=icmp

add action=drop chain=input\

comment="Bloquee todo el acceso a winbox.# NO HABILITE ESTA REGLA ANTES DE AGREGAR SU SUBRED LAN."\

disabled=yes dst-port=8291 protocol=tcp src-address-list=!support

add action=jump chain=forward comment="Saltar flujo de icmp" disabled=no jump-target=ICMP protocol=icmp

add action=drop chain=forward comment="Bloquear lsita de direcciones de bogon" disabled=no dst-address-list=bogons

add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Agregar Spammers a la lista por 3 horas"\

connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0 protocol=tcp

add action=drop chain=forward comment="Evitar spammers " disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers

add action=accept chain=input comment="Aceptar DNS - UDP" disabled=no port=53 protocol=udp

add action=accept chain=input comment="Aceptar DNS - TCP" disabled=no port=53 protocol=tcp

add action=accept chain=input comment="Aceptar las conexiones establecidas" connection-state=established\

disabled=no

add action=accept chain=input comment="Aceptar conexiones relacionadas" connection-state=related disabled=no

add action=accept chain=input comment="Acceso completo a la lista de direcciones de SOPORTE" disabled=no src-address-list=support

add action=drop chain=input comment="Bloquea cualqeuir cosa! #  NO ACTIVES ESTA REGLA SIN ANTES ASEGURARTE QUE ACEPTES TODAS LAS REGLAS QUE NECESITAS"\

disabled=yes

add action=accept chain=ICMP comment="Echo request - Evitar ping Flood" disabled=no icmp-options=8:0 limit=1,5 protocol=icmp

add action=accept chain=ICMP comment="Echo reply" disabled=no icmp-options=0:0 protocol=icmp

add action=accept chain=ICMP comment="Tiempo excedido" disabled=no icmp-options=11:0 protocol=icmp

add action=accept chain=ICMP comment="Destinatino inalcanzable" disabled=no icmp-options=3:0-1 protocol=icmp

add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp

add action=drop chain=ICMP comment="Bloqueo de otro ICMPs" disabled=no protocol=icmp

 add action=jump chain=output comment="Saltar salida icmp" disabled=no jump-target=ICMP protocol=icmp

Winbox en terminal:

Copiamos las reglas del script anterior y abrimos una nueva terminal en  winbox, dar clic derecho sobre la terminal y elegir  pegar:

 

Para aplicar la última regla, presionar enter:

Verificamos que se crearon las reglas en el apartado IP > Firewall > Filter Rules: