capacitación mikrotik desde cero - práctica
TRANSCRIPT
![Page 1: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/1.jpg)
Práctica a DesarrollarPráctica a Desarrollar
Utilización de la herramienta de configuración WinBox
PPPoE – DHCP Client, según proveedor de Internet
Firewall/Mangle/NAT - Ejemplos
Configuración de un servidor DHCP
Simple Queue, control básico de ancho de banda
Acceso remoto a un dispositivo de la LAN
Backup de la configuración
Actualización de firmware
![Page 2: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/2.jpg)
DHCP ClientDHCP Client
![Page 3: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/3.jpg)
PPPoE ClientPPPoE Client
![Page 4: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/4.jpg)
NAT (Network address Translation)NAT (Network address Translation)
![Page 5: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/5.jpg)
DHCP ServerDHCP Server
![Page 6: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/6.jpg)
Simple Queue (Control de ancho de banda)Simple Queue (Control de ancho de banda)
![Page 7: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/7.jpg)
Simple Queue usando BurstSimple Queue usando Burst
![Page 8: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/8.jpg)
Simple Queue usando BurstSimple Queue usando Burst
![Page 9: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/9.jpg)
FirewallFirewall
input - cadena usada para procesar paquetes que entran al router por alguna de sus interfaces cuya dirección IP destino es una de las que posee el router
forward – cadena usada para procesar paquetes que pasan a través del router
output – cadena usada para procesar paquetes originados desde el router y que salen a través de alguna de sus interfaces
Complementar con:http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
![Page 10: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/10.jpg)
Firewall – Protegiendo al RouterFirewall – Protegiendo al Router
Digamos que nuestra red privada es 192.168.0.0/24 y la WAN es la Ether1. Vamos a configurar el firewall para permitir conexiones hacia el mismo router sólo de nuestra red local y dropear el resto. También vamos a permitir el protocolo ICMP en cualquier interfaz para que cualquier persona pueda hacer ping al router desde Internet.
/ip firewall filter
add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \ comment="Allow Established connections"
add chain=input protocol=icmp action=accept \ comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \ in-interface=!ether1
add chain=input action=drop comment="Drop everything else"
![Page 11: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/11.jpg)
Firewall – Protegiendo a los ClientesFirewall – Protegiendo a los ClientesDeberíamos considerar el tráfico que pasa a través del router hacia los clientes y bloquear lo no deseado. Para el tráfico icmp, tcp, udp crearemos reglas para dropear paquetes no deseados:
/ip firewall filter add chain=forward protocol=tcp connection-state=invalid \ action=drop comment="drop invalid connections" add chain=forward connection-state=established action=accept \ comment="allow already established connections" add chain=forward connection-state=related action=accept \ comment="allow related connections"
Creamos reglas TCP y denegamos algunos puertos ellas:
add chain=forward protocol=tcp dst-port=69 action=drop \ comment="deny TFTP" add chain=forward protocol=tcp dst-port=111 action=drop \ comment="deny RPC portmapper" add chain=forward protocol=tcp dst-port=135 action=drop \ comment="deny RPC portmapper" add chain=forward protocol=tcp dst-port=137-139 action=drop \ comment="deny NBT" add chain=forward protocol=tcp dst-port=445 action=drop \ comment="deny cifs" add chain=forward protocol=tcp dst-port=2049 action=drop comment="deny NFS" add chain=forward protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" add chain=forward protocol=tcp dst-port=20034 action=drop comment="deny NetBus" add chain=forward protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" add chain=forward protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
![Page 12: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/12.jpg)
Firewall - NATFirewall - NAT
source NAT – se utiliza para paquetes originados en la red nateada. El router reemplaza la ip privada origen del paquete IP con una ip pública mientras pasa por el router. La operación contraria sucede con los paquetes que viajan en dirección inversa.
destination NAT – se utiliza para paquetes que van destinados a la red nateada. Comunmente se utiliza para que los host de la red interna sean accesibles desde internet. El router reemplaza la IP destino del paquete IP mientras pasa por el mismo hacia la red privada.
![Page 13: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/13.jpg)
Firewall – Source NATFirewall – Source NATComo esconder la red privada tras una IP públicaComo esconder la red privada tras una IP pública
/ip firewall nat add chain=srcnat action=masquerade out-interface=Public
/ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \ to-addresses=192.168.0.109
Destination NATDestination NATComo acceder desde afuera a un Host de la red PrivadaComo acceder desde afuera a un Host de la red Privada
/ip firewall nat add chain=srcnat src-address=192.168.0.109 action=src-nat \ to-addresses=10.5.8.200
Agrego esta regla si quiero que el Host se comunique Agrego esta regla si quiero que el Host se comunique con otras redes mantiendo como IP origen la IP con otras redes mantiendo como IP origen la IP
públicapública
![Page 14: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/14.jpg)
Port Forward-Acceso Remoto a un Dispositivo LANPort Forward-Acceso Remoto a un Dispositivo LAN
![Page 15: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/15.jpg)
Backup de ConfiguraciónBackup de Configuración
![Page 16: Capacitación Mikrotik desde Cero - práctica](https://reader035.vdocuments.mx/reader035/viewer/2022062220/557b0e7ad8b42af5338b4692/html5/thumbnails/16.jpg)
Tips de SeguridadTips de Seguridad