21. [Firewall - Filter Rules] FORWARD CHAIN - datos que pasan A TRAVÉS del Mikrotik

La cadena FORWARD es usada para procesar paquetes y datos que viajan a través del Mikrotik, es decir que NO estan dirigidos hacía el Mikrotik (cadena INPUT) NI TIENEN origen en el Mikrotik (cadena OUTPUT), estos datos pueden estar dirigidos a un servidor de correos, servidor DNS, etc. Es decir tienen dirección distinta a la del Mikrotik pero que NECESARIAMENTE requieren pasar por el Mikrotik.

Ejemplo 1
Para este ejemplo ustedes NECESITAN tener esta configuración en su Mikrotik. Es decir que el Mikrotik haga de Servidor DNS.
Como Dato el Mikrotik tiene la IP 192.168.1.1 y la red maneja la IP 192.168.1.X [x puede ocupar valores desde 2 hasta 254].
Para esto necesitamos agregar los DNS (que nuestro proveedor ISP nos ha dado) en el Mikrotik, esto para que el Mikrotik pueda servir como Servidor DNS

Se le pide como administrador de RED que
1) Todas las computadoras clientes sean obligadas a no usar ningun DNS
2) El unico Servidor que las computadoras pueden usar es el del SERvidor DNS del Mikrotik

Para poder realizar esta tarea vamos a usar la cadena FORWARD para bloquear el puerto 53 y el protocolo UDP (es el puerto que usan los DNS, además los DNS usan el protocolo UDP). Asi sería el script que necesitariamos.
Código:
/ip firewall filter
add chain=forward dst-port=53 protocol=udp action=drop

Si ustedes desean pueden probar hagan lo siguiente:
1) Agregen esta regla a su red
2) Vayan a una computadora cliente y vean que, si la computadora cliente tiene configurado los DNS que su proveedor ISP les ha dado no va a poder navegar por internet. (para el ejemplo nuestro proveedor es telefonica del Perú y por ello usamos los DNS 200.48.225.130)..

Y la pregunta es: ¿Cuál es la IP de nuestro SERVIDOR DNS Mikrotik?
Bueno la respuesta es fácil es la misma IP que tiene nuestro Mikrotik, para el ejemplo que mostramos es 192.168.1.1

Con el ejemplo que hemos visto podemos observar que la cadena FORWARD puede ser aplicado para la tarea que nos piden debido a que una computadora cliente cuando pone un DNS de algún proveedor, necesariamente tiene que pasar A TRAVÉS del Mikrotik. Es decir NO APUNTA al Mikrotik sino que apunta algún servidor externo. Por lo que FORWARD se aplica a todo lo que pasa por el Mikrotik PERO NO AL MISMO MIKROTIK, ya deberiamos saber que si deseamos dirigirnos HACIA el Mikrotik usariamos INPUT y la cadena OUTPUT apuntaría los datos que tienen ORIGEN en el Mikrotik hacia Afuera.

OTRO EJEMPLO
Otro ejemplo que se encuentra en el foro es el del bloqueo del facebook y youtube.
Estas dos primeras lineas agregan los regexp para el youtube y el facebook, no es de mucho interes para explicar sobre regexp usados, ya que lo que interesa es la cadena FORWARD. Lo que se puede decir es que los regexp ayudan a poder bloquear el facebook y el youtube

Estos dos codigos si son de interes, ya que se encuentran dos cadenas FORWARD, estas dos cadenas nos dice que bloqueen a cualquier computadora cliente que se dirigan hacia la dirección url del facebook o youtube, para conectarnos a esas páginas necesitamos pasar A TRAVÉS del Mikrotik por ello usamos la cadena FORWARD.

Espero que hayan entendido del uso correcto de la cadena FORWARD, existe otro uso para esta cadena y se usan con la cadena JUMP, esto será explicado en el siguiente POST.

Accede o Regístrate para comentar.