Evitar Ataques a Tu Mikrotik Solución Inmediata

Tema en 'Firewall' comenzado por MikrotikPeru, 19 de Diciembre de 2015.

  1. MikrotikPeru

    MikrotikPeru Well-Known Member

    Uno de los Problemas cuando iniciamos en el mundo de mikrotik es dejar los servicios activos, Permitiendo que muchos intrusos puedan tantear y generar trafico en nuestra WAN (Digamos "Trafico Basura")
    Una solucion Inmediata es Bloquear Los puertos del Mikrotik y solo dejar los que necesitaremos como puede ser el Puerto 8291 que es el puerto por defacto de winbox para administrar remotamente.

    [​IMG]

    # dec/19/2015 14:27:07 by RouterOS 6.29.1
    #
    /ip firewall filter
    add chain=input comment="Firewall WAN" dst-port=8291 in-interface=ether1 protocol=tcp
    add chain=input connection-state=established in-interface=ether1
    add chain=input connection-state=related in-interface=ether1
    add action=drop chain=input in-interface=ether1

    Para Este Ejemplo ether1 Seria Nuestra Interface WAN
    La Primera Linea dejamos Pasar Todo el trafico desde Afuera a nuestro mikrotik en el puerto 8291
    la segunda y tercera linea aceptamos a nuestro mikrotik solo conexiones que hayan sido establecidad primero desde mikrotik hacia internet como es el caso de los DNS
    La tercera Linea Elimina o dropea todo trafico externo o ataque a mikrotik

    Saludos,
     
    Última modificación: 20 de Diciembre de 2015
    A Angel Mauricio Ortiz y danielmikrotik les gusta esto.
  2. rifranco202325

    rifranco202325 New Member

    ojala me funcione si e tenido estos incomeniente
     
  3. rifranco202325

    rifranco202325 New Member

    pregunta se pone en el administrador o en las sxt de los clientes
     
  4. MikrotikPeru

    MikrotikPeru Well-Known Member

    Yo lo pondria solo en donde recae las IPs Publicas (Balanceador, Administrador), Con ellos cierras Definitivamente cualquier ataque al Mikrotik
     
  5. russel002

    russel002 New Member

    disculpa la ignorancia pero en el caso del balanceador tendria que poner esa regla segun la cantidad de las WAN?
     
  6. MikrotikPeru

    MikrotikPeru Well-Known Member

    Creo que seria mas sencillo usando la famosa negación "!"

    PHP:
    /ip firewall filter
    add chain=input comment="Firewall WAN" dst-port=8291 in-interface=!ether1 protocol=tcp
    add chain=input connection-state=established in-interface=!ether1
    add chain=input connection-state=related in-interface=!ether1
    add action=drop chain=input in-interface=!ether1
    Donde ether1 = LAN (Da cara a los clientes)

    Saludos,
     
  7. danielmikrotik

    danielmikrotik New Member

    Gracias muchas GRACIAS, desde hace 2 dia me comian el upload, pero con este tutorial didactico, lo hace cualquiera ja, lo he podido solucionar, una regla basica y efectiva. Para lo que pueda aportar estoy, no subo nuevos temas porque no soy experto, pero mi idea es cuando pueda realizar un num. Saludos Desde Argentina
     
    A MikrotikPeru le gusta esto.
  8. MikrotikPeru

    MikrotikPeru Well-Known Member

    danielmikrotik
    El aporte de conocimiento siempre es bienvenido en esta comunidad
    Saludos
     
  9. kalinet

    kalinet New Member

    Gracias por el aporte me sirvio de mucho, asta me habian recomendado cambiar mi rb
    Saludos y muchas Bendiciones desde Honduras.... muy buena pagina web :D:D:D www.mikrotikperu.pe
     
    A MikrotikPeru le gusta esto.
  10. JoelB

    JoelB New Member

    Hola amigos una consulta, hay otras reglas para poder bloquear los ataques que se genera al Mikrotik, me podria ayudar , por favor muchas gracias
     
  11. Muchas gracias, esta era la solución que necesitaba, saludos!
     
  12. dcalitos

    dcalitos New Member

    al usar esta regla ya no puedo ingresar desde el cisco al RB , si deseo mantener esta regla y agregar una exepcion para que solo la ip 172.18.99.4 pueda acceder donde modificaría la regla ...

    cisco =172.18.99.1 (WAN CISCO)
    RB =192.169.4.2 (WAN RB)

    desde el cisco llego al RB por una ruta estática , pero al aplicar la regla desde mi PC (172.18.99.4)de donde gestiono el RB ya no puedo ingresar

    se agradece su respuesta ....
     
  13. MikrotikPeru

    MikrotikPeru Well-Known Member

    Solo debes aceptar los puertos que necesitas, darle un accept, solo eso

    Saludos,
     
  14. joselg20

    joselg20 New Member

    BUENAS TARDE AMIGOS, NECESITO UN POCO DE SU AYUDA.. SOY NUEVO EN MIKROTIK.. TENGO MONTADO EL SISTEMA EN CPU Y ULTIMA MENTE ME HE FIJADO QUE ESTAN ENTRANDO UNAS IP DIFERENTE A LAS QUE ASIGNO EN MIKROTIK A MIS CLIENTE. POR EJEMPLO MI IP ES 10.5.40.1 Y ME APARECEN EL EL HOST: IP 192.168.48.1 O 200. 254.23.1 ETC. Y CON LA LETRA (D) Y OTRAS VECES CON LA LETRA (P) A QUE SE DEBE ESTO O QUE PUEDO HACER PARA EVITAR ESTO. DISCULPENME QUE ESCRIBA EN ESTE FORO. PERO POR FAVOR NECESITO SU AYUDA.
     
  15. danielmikrotik

    danielmikrotik New Member

    son gente que se conecto a tu ap
     
  16. renatoeames

    renatoeames Member

    Hola amigos buenas noches, entonces con estas reglas ya no es necesario las reglas del SSH, Telnet, etc que dropea ? solo pongo esto y el resto ya esta demas verdad?
     
  17. misaelcerron

    misaelcerron New Member

    Con estas reglas se esta cerrando todo los puertos del router, solo nos esta aceptando conexiones al puerto 8291 que es el puerto del winbox.
     
  18. MikrotikPeru

    MikrotikPeru Well-Known Member

    Exacto, Mas practico, OJO solo se esta cerrando posibles ataques o ingresos hacia el Mikrotik (Internet -> Mikrotik).
     
  19. renatoeames

    renatoeames Member

    Hola señores buenas tardes, aquí estoy preocupado, con dolor de cabeza, les ofrezco disculpas por molestarlos y quitarles su tiempo, ahorita estoy pasando por un mal momento y se me complica pedir ayuda a alguien por mi zona..
    Por favor Por favor ayúdenme mi red esta super lenta y así no era he visto que mis reglas de protección de QOS, Telnet, etc detecta y dropea ataques pero igual sigue lento, puse su regla y no se si esta bien o genere algún conflicto :( ya estoy al borde ayúdenme porque estoy me agobia aparte la linea que pedí de movistar se demora mucho en instalarme..
     

    Archivos adjuntos:

  20. misaelcerron

    misaelcerron New Member

    Porque no pones un export de tu configuración general.
     
    A MikrotikPeru le gusta esto.

Comparte esta página