23. [Firewall - Filter Rules] INPUT CHAIN - datos que van HACIA el Mikrotik

editado 6 de septiembre en [INPUT Chain]

Vamos a comenzar trabajando con el firewall de Mikrotik, esto debido a que necesitaremos de herramientas como las cadenas (chains) para el uso de bloqueos o permisos del firewall con el exterior o en la misma red interna.
Varios de ustedes habrán visto este tipo de reglas
Código:

/ip firewall filter
add chain=input connection-state=invalid action=drop
add chain=input connection-state=established action=accept
add chain=input protocol=icmp action=accept
add chain=input action=drop

En ellas se encuentra el comando INPUT, la mayoría solo copia y pega cuando se encuentra algunas configuraciones, pero esta vez leyendo este post entenderá mas sobre lo que significa y podrá darse cuenta de lo que copia.

Input Chain
Este proceso llamado "input" se refiere a todo trafico de datos que va como destino al router Mikrotik. Para entender mejor este concepto haremos un caso explicativo.

Ejemplo 1:
Usted es un administrador de redes y le piden que bloquee el comando ping hacia el Mikrotik. Es decir el Mikrotik NO RESPONDERÁ a los pineos (Solo el mikrotik, ya que usted podrá pinear a otros dispositivos)
Datos a tomar en cuenta

El Mikrotik tiene la IP privada 192.168.1.1
El Mikrotik tiene la IP pública 190.235.136.9

Si observan la imagen veran que las peticiones de PING son enviadas (con dirección) al ROUTER, ya sea desde el internet o desde nuestra red interna. Este tipo de peticiones son procesos en que involucran la cadena INPUT.

Ping funciona mediante el Internet Control Message Protocol (ICMP).
Vamos a agregar una cadEna input e indicamos el protocolo ICMP y tomaremos como acción bloquearlo
Código:

/ip firewall filter
add chain=input protocol=icmp action=drop
En el grafico si mandamos ping desde nuestra red interna al Mikrotik no >nos responderá



De igual manera si enviamos desde el internet HACIA EL MIKROTIK (cuya IP publica es 190.235.136.9), es decir desde fuera de nuestra red, no nos responderá


Ejemplo 2:
Ahora nos piden que por nuestra misma red TODOS los dispositivos de nuestra propia red puedan PINEAR AL MIKROTIK y las IPs que no pertenecen a esa red NO PODRAN PINEAR AL MIKROTIK, es decir todos los que pertenecen a las IPs:
192.168.1.1
192.168.1.2
192.168.1.3
...
...
192.168.1.254
Solo estas pueden estar permitidos pinear al MIKROTIK, pero TODOS los demas NO.
Como es tedioso poner IP por IP vamos abreviar
192.168.1.0/24 = (representa o es igual) = 192.168.1.X [donde X toma valores desde 1 hasta 254]
Listo las reglas de firewall serían
Código:

/ip firewall filter
add chain=input src-address=192.168.1.0/24 protocol=icmp action=accept
add chain=input protocol=icmp action=drop

Explicando las reglas.
Debemos crear una primera regla que nos diga PERMITE pinear a la familia de IPs 192.168.1.X y despues OTRA REGLA que nos diga BLOQUEA todos los demás IPs
Deben recordar que el orden de las reglas en el FIREWALL FILTER se ejecutan por orden, es decir el orden, se ejecutan las que se situan arriba y despues la de abajo.
Esta primera regla nos indica que toda la red va a poder mandar pineos entre ellos 192.168.1.X
Código:

add chain=input src-address=192.168.1.0/24 protocol=icmp action=accept



ESta segunda nos dice que TODOS los demás IPs bloquealos.
Código:

add chain=input protocol=icmp action=drop



Ultimo EJEMPLO
Importante!!! Será utilizado en el proximo POST de chain OUTPUT
Hasta aqui hemos usado solo el protocolo ICMP y no hemos especificado algún puerto. Ahora usaremos la cadena INPUT con puertos específicos.
Se les da el siguente problema:
Condición necesario: Utilizando la cadena INPUT
deberán PERMITIR el FTP del Mikrotik en toda la RED PRIVADA, es decir 192.168.1.0/24 y a la vez
deberán DENEGAR el FTP del Mikrotik a toda RED PÚBLICA, es decir que denegar a todos los que esten queriendo entrar desde el internet al FTP de Mikrotik.

Código:

/ip firewall filter
add chain=input src-address=192.168.1.0/24 protocol=tcp dst-port=21 >action=accept
add chain=input protocol=tcp dst-port=21 action=drop

Si observan con detenimiento hemos agregado además del protocolo, el puerto del FTP, que es 21.
En esta ocasión haremos una pausa ya que si bien es cierto tenemos el puerto 21 como puerto a utilizar para aplicar nuestras reglas, existe siempre preguntas ya que en Mikrotik se tiene dos opciones para el puerto. Se que es el puerto 21, pero ¿Qué uso? ¿Src Port o Dst Port?
La respuesta es: Cuando uses Input chain usas el dst port debido a que INPUT es cuando hay alguna petición desde afuera con dirección de destino al router. Por ello usamos destination-port, que en abreviaturas es dst-port

Pero debido a que hemos puesto nuestra regla de INPUT CHAIN, deberemos apuntar a un puerto de destino que en este caso es (destination port = dst-port) puerto de destino 21 (puerto del FTP)

Listo!! hemos permitido que cualquier computadora de nuestra red tenga acceso al FTP del Mikrotik y bloqueado a cualquiera que este fuera de nuestra red.

Accede o Regístrate para comentar.