Upload
microcom-argentina
View
27.843
Download
4
Embed Size (px)
Citation preview
Práctica a DesarrollarPráctica a Desarrollar
Utilización de la herramienta de configuración WinBox
PPPoE – DHCP Client, según proveedor de Internet
Firewall/Mangle/NAT - Ejemplos
Configuración de un servidor DHCP
Simple Queue, control básico de ancho de banda
Acceso remoto a un dispositivo de la LAN
Backup de la configuración
Actualización de firmware
DHCP ClientDHCP Client
PPPoE ClientPPPoE Client
NAT (Network address Translation)NAT (Network address Translation)
DHCP ServerDHCP Server
Simple Queue (Control de ancho de banda)Simple Queue (Control de ancho de banda)
Simple Queue usando BurstSimple Queue usando Burst
Simple Queue usando BurstSimple Queue usando Burst
FirewallFirewall
input - cadena usada para procesar paquetes que entran al router por alguna de sus interfaces cuya dirección IP destino es una de las que posee el router
forward – cadena usada para procesar paquetes que pasan a través del router
output – cadena usada para procesar paquetes originados desde el router y que salen a través de alguna de sus interfaces
Complementar con:http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Firewall – Protegiendo al RouterFirewall – Protegiendo al Router
Digamos que nuestra red privada es 192.168.0.0/24 y la WAN es la Ether1. Vamos a configurar el firewall para permitir conexiones hacia el mismo router sólo de nuestra red local y dropear el resto. También vamos a permitir el protocolo ICMP en cualquier interfaz para que cualquier persona pueda hacer ping al router desde Internet.
/ip firewall filter
add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \ comment="Allow Established connections"
add chain=input protocol=icmp action=accept \ comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \ in-interface=!ether1
add chain=input action=drop comment="Drop everything else"
Firewall – Protegiendo a los ClientesFirewall – Protegiendo a los ClientesDeberíamos considerar el tráfico que pasa a través del router hacia los clientes y bloquear lo no deseado. Para el tráfico icmp, tcp, udp crearemos reglas para dropear paquetes no deseados:
/ip firewall filter add chain=forward protocol=tcp connection-state=invalid \ action=drop comment="drop invalid connections" add chain=forward connection-state=established action=accept \ comment="allow already established connections" add chain=forward connection-state=related action=accept \ comment="allow related connections"
Creamos reglas TCP y denegamos algunos puertos ellas:
add chain=forward protocol=tcp dst-port=69 action=drop \ comment="deny TFTP" add chain=forward protocol=tcp dst-port=111 action=drop \ comment="deny RPC portmapper" add chain=forward protocol=tcp dst-port=135 action=drop \ comment="deny RPC portmapper" add chain=forward protocol=tcp dst-port=137-139 action=drop \ comment="deny NBT" add chain=forward protocol=tcp dst-port=445 action=drop \ comment="deny cifs" add chain=forward protocol=tcp dst-port=2049 action=drop comment="deny NFS" add chain=forward protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" add chain=forward protocol=tcp dst-port=20034 action=drop comment="deny NetBus" add chain=forward protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" add chain=forward protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
Firewall - NATFirewall - NAT
source NAT – se utiliza para paquetes originados en la red nateada. El router reemplaza la ip privada origen del paquete IP con una ip pública mientras pasa por el router. La operación contraria sucede con los paquetes que viajan en dirección inversa.
destination NAT – se utiliza para paquetes que van destinados a la red nateada. Comunmente se utiliza para que los host de la red interna sean accesibles desde internet. El router reemplaza la IP destino del paquete IP mientras pasa por el mismo hacia la red privada.
Firewall – Source NATFirewall – Source NATComo esconder la red privada tras una IP públicaComo esconder la red privada tras una IP pública
/ip firewall nat add chain=srcnat action=masquerade out-interface=Public
/ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \ to-addresses=192.168.0.109
Destination NATDestination NATComo acceder desde afuera a un Host de la red PrivadaComo acceder desde afuera a un Host de la red Privada
/ip firewall nat add chain=srcnat src-address=192.168.0.109 action=src-nat \ to-addresses=10.5.8.200
Agrego esta regla si quiero que el Host se comunique Agrego esta regla si quiero que el Host se comunique con otras redes mantiendo como IP origen la IP con otras redes mantiendo como IP origen la IP
públicapública
Port Forward-Acceso Remoto a un Dispositivo LANPort Forward-Acceso Remoto a un Dispositivo LAN
Backup de ConfiguraciónBackup de Configuración
Tips de SeguridadTips de Seguridad