En MikroTik, el firewall es una herramienta poderosa que permite controlar el
tráfico de red a nivel de paquete, protegiendo la red contra accesos no deseados,
ataques y tráfico no autorizado. Aquí tienes una guía para configurarlo y algunos
ejemplos comunes.
1. Conceptos básicos del firewall en MikroTik
El firewall en MikroTik utiliza cadenas (chains) y reglas (rules). Existen tres
cadenas principales:
Input: Filtra el tráfico dirigido a la misma interfaz del router (por ejemplo,
acceso al router).
Forward: Filtra el tráfico que pasa a través del router hacia otras interfaces.
Output: Filtra el tráfico generado por el router hacia otras redes.
Cada regla del firewall tiene una acción, como accept, drop, o reject.
2. Configuración básica de seguridad del firewall
Primero, accede al firewall en Winbox o en la CLI usando:
plaintext
Copiar código
/ip firewall filter
a. Bloquear el acceso al router desde IPs externas
Bloquear el acceso al router desde Internet:
plaintext
Copiar código
add chain=input connection-state=new in-interface=<WAN> action=drop
Esto bloqueará cualquier intento de acceso nuevo desde la interfaz WAN.
Permitir el acceso al router desde la red local:
plaintext
Copiar código
add chain=input src-address=<RED_LOCAL>/24 action=accept
Esto permite el acceso desde la red interna.
b. Proteger contra ataques comunes
Bloquear intentos de ping excesivos (prevención contra ataques de ping):
plaintext
Copiar código
add chain=input protocol=icmp limit=5,10:packet action=accept
add chain=input protocol=icmp action=drop
Bloquear intentos de escaneo de puertos:
plaintext
Copiar código
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-
list=port_scanners address-list-timeout=1d
add chain=input src-address-list=port_scanners action=drop
Bloquear acceso SSH o Winbox desde Internet (para evitar ataques de fuerza bruta):
plaintext
Copiar código
add chain=input protocol=tcp dst-port=22,8291 in-interface=<WAN> action=drop
c. Bloquear tráfico no autorizado en la cadena Forward
Para permitir solo el tráfico de la red interna hacia Internet y bloquear el
tráfico no autorizado:
�Permitir tráfico LAN hacia Internet:
plaintext
Copiar código
add chain=forward src-address=<RED_LOCAL>/24 out-interface=<WAN> action=accept
Bloquear tráfico que no esté permitido:
plaintext
Copiar código
add chain=forward action=drop
3. Configuración de NAT (si tu red lo requiere)
Para traducir direcciones IP privadas a la IP pública de la interfaz WAN:
plaintext
Copiar código
/ip firewall nat add chain=srcnat out-interface=<WAN> action=masquerade
4. Guardar la configuración
Después de configurar el firewall, asegúrate de guardar los cambios para mantener
la configuración activa tras un reinicio.
5. Monitoreo y ajustes
Usa los siguientes comandos para monitorear el tráfico y ajustar el firewall:
Para ver las reglas activas y el tráfico que pasa por ellas:
plaintext
Copiar código
/ip firewall filter print stats
Ver la lista de direcciones bloqueadas (por ejemplo, para escáneres de puertos):
plaintext
Copiar código
/ip firewall address-list print
Estas reglas básicas deberían ayudarte a asegurar el MikroTik y proteger la red
interna.
