31. [Firewall - Filter Rules] OUTPUT CHAIN - datos que salen DESDE el Mikrotik

En el anterior post habiamos visto la cadena INPUT, que es para el caso de cuando haya alguna información o conexion con direccion HACIA el MIKROTIK. Esta regla es muy utilizada ya que nos evitara algunos ataques. Al finalizar esta sección veremos un ejemplo de como se protegería a nuestro firewall de posibles ataques.
Ahora vamos a entender la cadena OUTPUT CHAIN.
La cadena OUTPUT es para cuando haya alguna data que haya sido generada desde nuestro ROUTER MIKROTIK.

Para entenderlo utilizaremos el ejemplo anterior
Se les da el siguente problema:
Condición necesario Utilizando la cadena OUTPUT
Deberán PERMITIR el FTP del Mikrotik en toda la RED PRIVADA, es decir 192.168.1.0/24 y a la vez
Deberán DENEGAR el FTP del Mikrotik a toda RED PÚBLICA, es decir que denegar a todos los que esten queriendo entrar desde el internet al FTP de Mikrotik.

Antes vamos a recordara como era resuelto este problema cuando usabamos SOLO la cadena INPUT.
En el ejemplo del anterior post, se utilizaba la cadena INPUT. Entonces teniamos que tomar la regla visto desde toda información que va HACIA el ROUTER Mikrotik. Por lo que los puertos eran tomados como puertos de destino.

Código:

/ip firewall filter
add chain=input src-address=192.168.1.0/24 protocol=tcp dst-port=21 >action=accept
add chain=input protocol=tcp dst-port=21 action=drop

Pero si utilizamos la cadena OUTPUT tenemos que crear reglas que SALGAN DESDE el Mikrotik entonces si la información tiene direccion desde el Mikrotik hacia afuera serian puertos de origen o en ingles SOURCE PORT (ya que la información nace del Mikrotik. La figura es la siguiente

Entonces el script seria el siguient
Código:

/ip firewall filter
add chain=output src-address=192.168.1.0/24 protocol=tcp src-port=21 >action=accept

add chain=output protocol=tcp src-port=21 action=drop
Espero que con este ejemplo hayan entendido la utilización de la cadena denominada OUTPUT, como indique al finalizar este módulo se utilizará las tres cadenas que existen en el Mikrotik ( INPUT OUTPUT FORWARD) para crear reglas de proteccion de FIREWALL. Que tengan buen día

Accede o Regístrate para comentar.