Configurar el filtrado de paquetes

Todos los paquetes con destino al router son procesados en contra del filtro de firewall IP de
entrada de la cadena. Tenga en cuenta, que la cadena de entrada no influye en los paquetes
que estn siendo transferidos a travs del router!
Puede aadir reglas siguientes a la entrada de la cadena en virtud de filtro de cortafuegos
IP / (justo 'copiar y pegar' al router mediante terminal de consola o configurar los argumentos
pertinentes en WinBox):

/ ip firewall filter
add chain=input connection-state=established comment="Accept
established connections"
add chain=input connection-state=related comment="Accept related
connections"
add chain=input connection-state=invalid action=drop comment="Drop
invalid connections"
add chain=input protocol=udp action=accept comment="UDP"
disabled=no
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited
pings"
add chain=input protocol=icmp action=drop comment="Drop excess
pings"
add chain=input protocol=tcp dst-port=22 comment="SSH for secure
shell"
add chain=input protocol=tcp dst-port=8291 comment="winbox"
# Edit these rules to reflect your actual IP addresses! #
add chain=input src-address=159.148.172.192/28 comment="From
Mikrotikls network"
add chain=input src-address=10.0.0.0/8 comment="From our private
LAN"
# End of Edit #
add chain=input action=log log-prefix="DROP INPUT" comment="Log
everything else"
add chain=input action=drop comment="Drop everything else"

Mikrotik Firewall Seguridad

He estado usando MikroTik routers desde hace un tiempo, y estoy sinceramente
impresionado por lo que puede hacer por el precio. Se le da caractersticas ms
avanzadas que Cisco, SonicWALL, o productos Watchgaurd, y es una fraccin
(literalmente) del precio.
As lo suficiente sobre el canto de lo mucho que amo routers Mikrotik.
Lo que vamos a estar discutiendo es explorar algunas de las reglas de cortafuegos
ms potentes que se pueden configurar en el Mikrotik RouterOS.
Mikrotik ofrece una utilidad de interfaz grfica de usuario personalizada llamada
WinBox para configurar sus dispositivos, sin embargo en lugar de que le indica que
apuntar y hacer clic en varios objetos, en su mayor parte te voy a dar los comandos
de la CLI.
Para estos ejemplos, nos vamos a asumir lo siguiente: Router IP
interna: 192.168.25.1 Servidor IP: 192.168.25.20

Configuracin bsica del cortafuegos

/ip firewall filter
add chain=input connection-state=invalid action=drop comment="Drop
Invalid connections"
add chain=input connection-state=established action=accept comment="Allow
Established connections"
add chain=input protocol=icmp action=accept comment="Allow ICMP"
add chain=input src-address=192.168.25.0/24 action=accept in-interface=!
ether1 comment="Only allow internal traffic on ports other than your WAN
port"
add chain=input action=drop comment="Drop everything else. MAKE SURE
THIS IS THE LAST RULE"

Esta tcnica se encargar de proteccin al propio router, sin embargo Mikrotik trata a la
cadena de entrada como el trfico hacia el propio router. Si usted est realizando NAT, o
puente para otros dispositivos detrs del router, necesitar aadir entradas similares para
la cadena fowarding .

/ip firewall filter

add chain=forward protocol=tcp connection-state=invalid action=drop
comment="drop invalid connections"
add chain=forward connection-state=established action=accept
comment="allow already established connections"

add chain=forward connection-state=related action=accept comment="allow

related connections"

Bloquear mal trfico

A continuacin, voy a querer bloquear las direcciones IP que no queremos llegar a
nuestra red. No me gusta crear varias reglas para llevar a cabo la misma tarea, por
lo que vamos a crear una lista de direcciones, y agruparlos de esa manera. En
RouterOS, haga clic en IP> Firewall> Listas de direcciones> +
A continuacin, utilice el nombre de Bloqueado IP , e introduzca cada una de de
estas direcciones IP (que tendr que aadir un nuevo cada direccin, pero se utiliza
el mismo nombre para agruparlos juntos) . Sintase libre de agregar ms
direcciones IP a esta lista como mejor le parezca.
0.0.0.0/8
127.0.0.0/8
224.0.0.0/3

Tenga en cuenta que si va a tratar de trabajar con el trfico de multidifusin

(como VRRP), tendr que excluir 224.0.0.0/3).
A continuacin vamos a aadir las siguientes reglas en el firewall para bloquear
todos los IP en nuestra lista de direcciones (generalmente pongo esto en la parte
superior, ya que la mayora de las reglas de bloqueo de ejemplo en esta pgina el
uso de este):
/ip firewall filter
add chain=input src-address-list="Blocked IP's" action=drop
comment="Block these IP's from getting to the router" disabled=no
add chain=forward src-address-list="Blocked IP's" action=drop
comment="Block these IP's from getting through the router" disabled=no

El bloqueo FTP bruteforce

/ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect"
dst-limit=1/1m,9,dst-address/1m comment="inspect outbound packets for the
FTP login failure, and if there's less then 10 going to a single ip
address within 1 minute, allow it." disabled=no
add chain=output action=add-dst-to-address-list protocol=tcp content="530
Login incorrect" address-list="Blocked IP's" address-list-timeout=3h
comment="This rule must go immediately behind the previous rule. If

there's more than 10 ftp failure packets within 1 minute, add it to the
blocked up list for 3 hours"

Cada de escneres de puertos

/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list
address-list="Blocked IP's" address-list-timeout=2w comment="Add Port
scanners to Blocked List" disabled=no

Estos ejemplos son opcionales, y pueden ayudar con otro tipo de intentos de exploracin:
/ip firewall filter
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners" address-listtimeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-addresslist address-list="port scanners" address-list-timeout=2w
comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-addresslist address-list="port scanners" address-list-timeout=2w
comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
action=add-src-to-address-list address-list="port scanners" address-listtimeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
action=add-src-to-address-list address-list="port scanners" address-listtimeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners" address-listtimeout=2w comment="NMAP NULL scan"

Voy a seguir este artice con puertos que puede que necesite unos para conseguir ms all
del router.Gracias!

fuente
http://whitneytechnologies.com/?p=27
fuente a pesquisar
https://www.mikrotik.com/testdocs/ros/2.8/howto/howto.php

http://www.ryohnosuke.com/foros/index.php?threads/14310/