33. [Firewall - Filter Rules] JUMP CHAIN - Creando Nuevas Cadenas

Por defecto tu tienes solo tres cadenas que vienen con el mikrotik INPUT OUTPUT FORWARD. Lo mejor del mikrotik es que te permite poder crear tus propias cadenas, esto se consigue con la cadena JUMP. Tu puedes construirlas y darles el nombre que quieras.
Para ello citaremos un ejemplo que casi siempre me lo piden.
Tenemos un RouterBoard que maneja varias redes

Red1 192.168.0.1 [En esta red esta el area de Contabilidad]
Red2 10.10.10.1 [En esta red esta el area de Ventas]

El problema es el siguiente:
La Red1 pertenece a una red de Contabilidad y la información que tienen es importante y por ende no quieren que los de la Red2 (que son el area de Ventas) puedan ver esta información

Para resolver el problema usaremos la cadena JUMP, ya que vamos a crear nuevas cadenas a las cuales vamos aplicar despues reglas entorno a ellas

Antes de empezar veremos que por defecto Mikrotik tiene solo tres cadenas

Vamos a crear entonces una nueva cadena llamada "Red1" y lo hacemos con la ayuda de JUMP


Después de haber creado la cadena "Red1" podemos observar que en la lista aparece junto a las tres

Este es un ejemplo pero ya que necesitamos dos cadenas una llamada "Red1" y otra llamada "Red2" lo haremos con los comandos de Mikrotik

Con estas dos reglas creamos dos nuevas cadenas llamadas Red1 y Red2, estas hacen referencias a las dos redes que se manejan y gracias a estas dos nuevas reglas vamos a poder separarlas, y asi evitar que se miren unas a otras.
Código:

/ip firewall filter
add chain=forward dst-address=192.168.0.0/24 action=jump jump->target=Red1
add chain=forward dst-address=10.10.10.0/24 action=jump jump->target=Red2

Con esto logramos tener control sobre las dos redes y podemos bloquear la comunicacion entre ellas. Existen varias formas para hacer este tipo de bloqueos pero la idea era explicar para que sirve la cadena JUMP.
Código:

/ip firewall filter
add chain=Red1 action=drop
add chain=Red2 action=drop

Lo que dice la regla anterior es que cualquier conexion que este fuera de la red a la cual pertenece NO podrá tener acceso. Esta regla es muy rigurosa ya que si tuvieramos un servidor de correos o un servidor web los bloqueará si es que se un cliente del exterior quisiese entrar. Para ello haremos la regla menos restrictiva usando la cadena JUMP llamada RED1 y RED2
Código:

/ip firewall filter
add chain=Red1 src-address=10.10.10.0/24 action=drop
add chain=Red2 src-address=192.168.0.0/24 action=drop

La primera cadena nos dice que SOLO la red 10.10.10.0/24 será bloqueada si es que quiere ingresar a la RED1 (esta es la red 192.168.0.0/24) de igual manera la segunda nos dice que SOLO la red 192.168.0.0/24 será bloqueada para ingresar a la RED2 (que es la red 10.10.10.0/24).
Como pueden observar podemos hacer múltiples opciones, que tal si necesitamos que ENTRE LAS REDES SE PUEDA PINEAR solo incluiremos esta regla por encima de todas y después drop para bloquear otro tipo de acceso.
Código:

/ip firewall filter
add chain=Red1 src-address=10.10.10.0/24 protocol=icmp action=accept
add chain=Red2

Accede o Regístrate para comentar.