Configuración Firewall con Mikrotik RB1100 AHx2

Hola a tod@s.

En este post veremos cómo se configura el router Mikrotik RB1100 AHx2, para que funcione como firewall de nuestra infraestructura de red, este es un dispositivo, que a mí en particular me gusta bastante, por su versatilidad, buen funcionamiento y las cientos de opciones de configuración que tiene, en algún otro post mostraré como montar un servicio WISP con este dispositivo de Mikrotik y con algunos otros, balanceo de líneas ADSL´s, filtrado de tráfico con Filter rules, VPNs site to site y de acceso remoto, webproxy transparente, PPoE client, DNS cache transparente, limitación de ancho de banda con PCQ, etc, etc…, en fin, sobre estos dispositivos podríamos estar meses y meses escribiendo sobre ellos, por la cantidad de opciones que nos presenta.

• Con los routers de Mikrotik podemos trabajar con la línea de comandos:

• O bien con la aplicación Winbox, que la podemos descargar de la web de Mikrotik, nosotros vamos a trabajar con la aplicación winbox, ya que nos muestra una interface GUI con menús más amigable que el entorno de texto, aunque en muchas ocasiones vamos a tener que recurrir al modo texto, por ejemplo, no en este post, sino en otros que mostraré, para configurar el balanceo de líneas ADSL´s, para las reglas de filtrado, para la limitación del ancho de banda por PCQ, etc..

• Empezamos con la configuración del router Mikrotik 1100 AHx2, para ello nos abrimos una sesión con el Winbox:

• Lo primero que haremos será darle un nombre al dispositivo:

• Ahora vamos a renombrar las interfaces Ethernet, que en este caso, tenemos tres, una de ellas será la interface OUTSIDE que irá conectada directamente a Internet, otra será la INSIDE que será donde tenemos conectados nuestros servidores empresariales, y la otra la DMZ dónde tendremos servidores en la red perimetral, es decir, estos se ubicarán entre nuestra red interna y la red externa Internet:

• Una vez que tenemos renombradas las interfaces le aplicaremos el direccionamiento IP, para ello nos vamos a IP>Adresses:

• Ahora configuramos la ruta por defecto para la salida a internet, que será un router ADSL con la dirección IP 192.168.14.205, para ello nos vamos a IP>Routes:

• Y configuramos la siguiente ruta estática:

• Ahora vamos a configurar el NAT para las redes INSIDE y DMZ, para ello nos vamos a IP>Firewall:

• Sobre la pestaña NAT configuramos primero la regla para la red INSIDE:

• Ahora configuramos el NAT para la red DMZ:

• Ahora vamos a configura el DNS caché, para ello nos vamos a IP>DNS:

• Configuramos los siguientes parámetros:

• Ahora vamos a configurar el DNS cache transparente (en realidad, esta parte de la configuración es opcional, ya que el servidor DNS lo vamos a configurar en el controlador de dominio, para que todos los equipos de nuestra infraestructura apunten a él como servidor de nombres, lo muestro por si a alguien le interesa), para ello nos vamos a IP>Firewall y pestaña NAT y crearemos estas dos reglas para la redirección del DNS, una para la interface INSIDE y otra para la DMZ:

Todo lo que tenga como destino (dstnat), el puerto 53 (Dst. Port), con protocolo udp (protocol), y que entre por etherX (In. Interface), será redireccionado (redirect), al puerto 53 (To Ports).

La función del DNS Caché transparente es que los equipos de nuestra infraestructura que soliciten direcciones de internet, queden registradas en el router Mikrotik, y cada vez que los equipos soliciten de nuevo estas direcciones, sea el Mikrotik quien se las sirva, todo esto de una forma transparente para los equipos, agilizando así las comunicaciones.

• Ahora vamos a crear una regla en el firewall para darle seguridad al DNS Caché y bloquear el acceso a este recurso desde Internet, así evitaremos ataques desde el exterior, para ello nos vamos a IP>Firewall y pestaña Filter Rules:

• Ahora nos vamos a centrar en las reglas que hemos creado en el firewall para la topología de red que hemos propuesto, intentaremos explicarlas una a una:

• Desde la línea 15 a la 32 hemos configurado el Firewall para permitir o denegar el tráfico que nos interesa entre la red INSIDE y la DMZ:
• De la línea 15 a la 18, creamos las cadenas de elementos a utilizar para configurar el tráfico.
• En la línea 19 y 20 permitimos el tráfico ICMP entre estas dos redes.
• En la línea 21 y 22 permitimos que el servidor MAIL01 se pueda conectar con el MX01 a través de terminal server (por escritorio remoto), y denegamos que MX01 se pueda conectar a MAIL01 a través de terminal server.
• De la línea 23 a la 26 permitimos el tráfico LDAP Exchange EdgeSync – ADAM desde Active Directory, para que el MAIL01 (Servidor de correos) y el MX01 (Servidor perimetral) puedan sincronizar los datos de configuración de Active Directory, en este enlace podéis ver el proceso de sincronización de EdgeSync.
• En la línea 27 y 28 permitimos todo el tráfico TCP entre MAIL01 y MX01.
• De la línea 29 a la 32 permitimos el tráfico TCP entre el servidor de antivirus Kaspersky y el MX01, para que el servidor de correos perimetral (MX01) ubicado en la DMZ pueda actualizar su antivirus desde los repositorios del servidor Kaspersky que tenemos configurado en nuestra red INSIDE.
• De la línea 36 a la 44 denegamos todo el tráfico entre las tres redes que hemos configurado INSIDE-DMZ-OUTSIDE.

 

Saludos y espero que os sea de ayuda, hasta otra 😉