Firewall. (Conecction Tracking).

 Vamos a repasar la clase de Fireall.

+conecction tracking

+filer

+nat

+raw

+mangle

+address list.

---------------------------------------------------------------------------------------------------------------------------

auto, no y yes. 

El mdodo automatico activa el connection tracking cuando hay una regla de firewall en vilo, pero si no hay ninguna regla el connecction tracking se apaga.

PELIGRO. Si lo dejamos en NO, es como que no existiera reglas de Filter y NAT.

EN YES. siempre estara activo.

---------------------------------------------------------------------------------------

Definiendo FILTER.

El firewall de mikrotik esta basado en Linux.

FORWAR, INPUT Y OUTPUT.

FORWARD: Todo trafico que quiere atravesar nuestro Router, bien sea desde la lan hacia internet, o desde internet hacia la lan.  ejemplo. denegar el acceso por ejemplo a facebook o twitter.

INPUT: Son reglas que van hacia el router, van desde la lan o desde inter, no que lo quiera atravesar sino quel o quiera acceder.

OUTPUT: Salientes desde el Router, por ejemplo cuando consulta DNS externo (en caso de que pongamos el mkrotik como servidor DNS).


1era regla de forward.

Esto quiere decir si la conexión está establecida o está relacionada con una conexión que ya está establecida.

Para sea persistente 

2da  regla de forward.

Invalidadmos el resto de conexiones, para ahorrar recursos.



Para INPUT, Tambies e aplican las mismas reglas, ya en conecction traking se puede ver la conexion validada. por el puerto 8299 que es el del  winbox.

Para el OUTPUT, Se aplican las mismas reglas.

------------------------------------------------------------------------------------------------------------------


NAT.

Hay forma con la Action:Redirect. SI la PC hacen las consultas l dns de google. esta regla permite que el router no deje pasar la regla a internet sin antes pasarla por si miesmo y luego enviarlas a internet.

RAW.

Ventaja analiza la conecion antes de pasarla por el conecction tracking, es de cir que si el mikrotik sufre de un ataque toda la conecction tracking se llenara de reglas lo que haria hacer sufri al procesador.

ADDRESS LIST.

Listas de direcciones. Facilitaria el nombramiento de varias ip del mismo conjunto.

Layer 7 Protocols.


-------------------------------------------------------------------------------------------------------------------

BANDWITH TEST.:

Servidor que tiene Mikrotik para realizar una medicion de ancho de banda entre dos mikrotiks.

----------------------------------------------------------------------------------------------------------------------

GRAFICOS ESTADISTICOS.

Sirve para ver si tenemos un cuello de botella.

--------------------------------------------------------------------------------------------------------------------

COLAS DE VEOLICAD SIMPLES.

Limitar ancho de banda. Se puede limitar por dirección IP, Puerto ethernet.

Limit At.<< No va a nacegar a menos de esto.

Max limit<< Lo maximo que va a navegar.

----------------------------------------------------------------------------------------------------------------

TORCH.

TOOLS>>TORCH>> SOBRE QUE INTERFACE.

Ojo que es Tx y Rx, para el router. Es el inverso para el cliente.

----------------------------------------------------------------------------------------------------------------










Comentarios

Publicar un comentario

Entradas populares de este blog

Tunel EOIP

Imagen
 Es propietario Mikrotik, puede correr sobre PPTP, IPIP ó cualquier tipo de tunel que corra en capa3 que pueda extenerdos epara correr en capa 2. S eva a usar el ejemplo anterior el TUNEL IPIP, para aplicar este modo de tunel. Se usara winbox en los servidores windows. Para que de esta forma cuando hayamos establecido el tunel EOIP, puede buscar las mac addres de los dispositivos conectados en la red, obviamente estara bsucando en capa 2), IP>>INTERFACE>>+>>EOPI TUNNEL. se usaran las direcciones ip del tunel IPIP. El EOIP se puede reforzar con IPsec, pero como ya la configuracion del tunel IPIP esta con Ipsec, no es necesario. EL TUNNEL ID, DEBE SER IGUAL EN AMBOS. Conf. EOIP del SITE-1. Conf. EOIP del SITE-2. EOIP debería funcionar                                                           ...
Leer más

Tunel GRE

Imagen
Levantamiento de dos sitios mediante un tunel GRE. SITE-1. INTERFACE>> GRE TUNNEL. Se le puede agregar mas seguridad con ipsec, por los momentos lo dejamos asi. SITE-2. .. Conexion establecida. AgregaR DIRECCIONES IP A LAS INTERFACES DE TUNEL GRE. SITE-2. SITE-1. --------------------------------------------- NEW ROUTE SITE-1. NEW ROUTE SITE 2. ------------------------------------------------------------------------------------------------------------ REGLAS DE NAT SITE-2. REGLAS DE NAT SITE 1. Probar conectividad con ping desde los equipos windos, y listo. El problema es que es inseguro porque no ctien. INTERFACE: Con solo editar la interface gree tunnel, y colocar las mismas frases en ambos mk, ya tenemos listo la seguridad ipsec Ahora vamos a verificar en IP>>IPSEC. Ver que los IPSEC esten establecidos y funcionando. Para verificar que el trafico este curssando encriptado vamos a la pestaña de, Installed SAs, debe tener trafico y cursar aun mas cuando este vaya obteniendo...
Leer más

de terminal a mikrotik, SSTP.

Imagen
 SSTP: Es muy buena porque es seguro, ya que nos obliga a usar certificado al igual que OVPN. Se creaun pool de direcciones nuevo. Se crea el profile . Antes de iniciar el servidor se crean los certificados. Systems>Certificate.>+. Certificado CA. Hay que estar pendiente en el common name lo que se va a colocar cuando es de MK a cliente. en este casose coloco site1. Certificado de Servidor. En el common name se le colocara la direccion IP con la que está oyendo (10.200.1.1). Certificado del Cliente. En el name se coloca cliente1. En el conmon name se coloca cliente1.site1 (se debe colocar el nombre del cliente como un subdominio del conmon name del CA (AUTORIDAD CERTIFICANTE)). Asi mismo en Secret se debe colocar el name del servidor del cliente es decir <cliente1>. Ahora se procede a firmar desde la terminal de MK. Primero la CA.  Comando: /certificate sign CA-TCP name =CA. Cuando aparece progress:done, es porque ya se firmo. Firma de certificado de servidor. clic...
Leer más