MTCTCE

MikroTik Certified
Traffic Control Engineer

(MTCTCE)
MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.
MikroTik Xperts
www.mikrotikxperts.com
Miguel Ojeda F.
miguel.ojeda@mikrotikxperts.com
MikroTik Certified Trainer
MikroTik Trainer ID #TR0151
MikroTik 2011
Horario
09:00 10:30 Sesin I
10:30 11:00 Break
11:00 13:00 Sesin II

13:00 14:00 Lunch
14:00 15:30 Sesin III

15:30 16:00 Break
16:00 17:30+ Sesin IV
Objetivos del curso

Proporcionar el conocimiento y las habilidades
en el manejo de MikroTik RouterOS y las
capacidades de control de trfico avanzado en
redes de pequea y gran escala.
Luego de completar el curso usted estar en
capacidad de planear, implementar, afinar y
corregir configuraciones de control de trfico
implementadas con MikroTik RouterOS
Introduccin personal
Presentarse individualmente
Nombre
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre networking
Qu espera de este curso?
Recuerde su nmero XY de clase

(X = nmero de fila, Y = nmero de asiento en fila)
Mi nmero es: _____

Configurar Laboratorio en clase

Configurar una red Ethernet 192.168.XY.0/24
entre la laptop (.1) y el router (.254)
Asignar la direccin IP 10.1.1.XY/24 a la interfaz
wlan1
Obtener acceso a internet desde la laptop.
Gateway = 10.1.1.254, DNS1=___.___.___.___,
DNS2=___.___.___.___
Crear un nuevo usuario RBXY con password
mikrotikXY para el router y cambiar los
derechos de acceso de admin a read
Configurar Laboratorio en clase (cont.)

Configurar la identidad del equipo
XY_<su_nombre>. Ej: 00_miguel
Configurar los nombres de las interfaces

XY_<su_nombre>_<nombre_interface>
Ej: 00_miguel_wan
Actualice su router a la versin RouterOS 5.x

Actualice su versin de Winbox Loader
Configurar el router como cliente NTP
Crear una configuracin backup y copiarla a su
laptop (ser la configuracin default)
ISP pequeo
Situacin:
Solo una direccin IP pblica.
El ISP no tiene un DNS Server
con problemas peridicos de
virus en la red
Requerimientos:
Masquerade
Basic IP filter
Primeros Clientes:
Conectarlos a Internet
Web-server
Requerimientos
DHCP server
DNS cache
Port forwarding
uPnP
DNS
Domain Name System
Situacin tpica
INTERNET
Situacin
Solo una IP pblica
ISP no tiene DNS Server
ISP tiene peridicos problemas
con virus en su red
Requerimientos
Masquerade
Filtro IP bsico
DHCP server
DNS cache
Port forwarding
uPnP
DNS Cache - Configuracin
10
DNS cliente y cache

El Cliente DNS es usado por el Router solo en caso de
configuracin web-proxy o hotspot
Se debe habilitar la opcin Allow Remote Requests
para transformar el cliente DNS en DNS Cache.
DNS cache permite usar el router en lugar de un Server
DNS, minimizando el tiempo de resolucin
El DNS cache tambien puede actuar como un DNS
Server para la resolucin de direcciones de redes
locales.
Cuando existen requerimientos remotos, el RouterOS
responde a los requerimientos TCP y UDP en el puerto
53.
11
DNS Cache - Configuracin

allow-remote-requests: especifica si se debe permitir
el requerimiento de las redes
cache-max-ttl: mximo time-to-live de los registros
guardados en cache. Los registros expirarn
incondicionalmente luego que se cumpla el timepo
cache-max-ttl
cache-size: (512 a 10240) especifica el tamao del
cache DNS en KiB
cache-used: muestra el tamao usado en KiB
primary-dns: Server DNS primario
secondary-dns: server DNS secundario
12
Nota
Si se usa use-peer-dns=yes, entonces el DNS Primario
cambiar a la direccin DNS dada por el DHCP Server
13
Ejemplo DNS
Para configurar 159.148.60.2 como DNS
Server Primario, y permitir al Router ser usado
como DNS Server:
ip dns set primary-dns=159.148.60.2 allow-remote-requests=yes
14
Monitoreo del Cache (ip dns cache)

Lista de todas los registros de direcciones
(DNS tipo A) almacenadas en el server
address: Direccin IP del host
name: nombre DNS del host
ttl: tiempo de vida del registro
15

ip dns cache pr
Flags: S - static
#
NAME
0
a.l.google.com
1
b.l.google.com
2
d.l.google.com
3
e.l.google.com
4
f.l.google.com
5
g.l.google.com
6
ns2.acresso.com
7
glb01.ams1.tfbn...
8
glb01.ash1.tfbn...
9
glb01.lhr1.tfbn...
10
glb01.sf2p.tfbn...
11
glb01.snc1.tfbn...
ADDRESS
74.125.53.9
74.125.45.9
74.125.77.9
209.85.137.9
72.14.203.9
74.125.95.9
64.14.29.53
69.63.191.219
69.63.185.11
69.63.191.91
69.63.176.101
69.63.179.22
TTL
20h36m25s
20h36m3s
20h37m59s
20h18m18s
20h36m25s
20h37m44s
1d19h48m24s
1h5m57s
47m41s
49m58s
47m41s
1m53s
16
17
Monitoreo del Cache (ip dns cache all)

Lista completa de todos los registros DNS
almacenados en el server
data: Campo de dato DNS
address: Direccin IP del host
name: nombre DNS del host
ttl: tiempo de vida del registro
18
Monitoreo del Cache (ip dns cache all)

ip dns cache all pr
Flags: S - static, N
#
NAME
0
l.google.com
1
l.google.com
2
l.google.com
3
l.google.com
4
l.google.com
5
l.google.com
6
a.l.google.com
7
b.l.google.com
8
d.l.google.com
9
e.l.google.com
10
f.l.google.com
11
g.l.google.com
12
installshiel...
- negative
TYPE DATA
NS
b.l.google.com
NS
d.l.google.com
NS
g.l.google.com
NS
a.l.google.com
NS
e.l.google.com
NS
f.l.google.com
A
74.125.53.9
A
74.125.45.9
A
74.125.77.9
A
209.85.137.9
A
72.14.203.9
A
74.125.95.9
NS
ns1.acresso.com
TTL
19h52m9s
19h52m9s
19h52m9s
19h52m9s
19h52m9s
19h52m9s
20h35m18s
20h34m56s
20h36m52s
20h17m11s
20h35m18s
20h36m37s
1d23h34m32s
19
DNS Esttico
Mikrotik RouterOS tiene un DNS Server
embebido en DNS Cache.
Permite enlazar los nombres de dominio con
IPs para avisar a los clientes DNS.
Se puede usar tambien para dar informacin
falsa a los clientes. Ej: cuando se resuelva
cualquier requerimiento DNS (o a todo el
internet) se redireccione a su propia pgina
20
DNS Esttico
El Server es capaz de resolver requerimientos
DNS basados en expresiones regulares POSIX. Por
lo tanto mltiples requerimientos pueden
coincidir con la misma entrada.
En caso de que una entrada no est acorde con
los estndares DNS, es considerada una
expresin regular y se la marca con R
La lista es ordena y chequeada de arriba hacia
abajo
Las expresiones regulares se chequean primero, y
luego los regisrtos planos.
21
DNS Esttico
22
Borrando el DNS Cache

/ip dns cache flush
flush: limpia el DNS cache
23
Laboratorio DNS Cache

Configure el router como DNS Cache. Use
10.1.1.254 como Server Primario
Aada la entrada DNS esttica www.XY.com a la
direccin IP local de su router (XY es su nmero)
Aada la entrada DNS esttica www.XY.com a la
direccin IP pblica de router de su vecino (XY es
el nmero asignado a su vecino)
Cambie las direcciones de los Server DNS de su
laptop a las direcciones de sus routers
Pruebe la configuracin y monitoree la lista
cache.
24
DHCP
Dynamic Host Configuration Protocol
25
DHCP
DHCP se usa para la distribucin dinmica de
configuraciones de red tales como:
IP address y netmask
Default Gateway
Direcciones de servidores DNS y NTP
Ms de 100 otras opciones (soportadas
nicamente por clientes DHCP especficos)
DHCP es inseguro y debera ser usado

nicamente en redes confiables
26
DHCP
DHCP Server siempre escucha en UDP 67
DHCP Cliente escucha en UDP 68
La negociacin inicial involucra la
comunicacin entre direcciones broadcast.
En algunas fases el sender usa direccin
origen 0.0.0.0 y/o direcciones destino
255.255.255.255
Se debe tener cuidado de esto cuando se
construye un firewall
27
Escenario de comunicacin DHCP

DHCP Discovery
src-mac=<client>, dst-mac=<broadcast>, protocol=udp,
src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
DHCP Offer
src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp,
src-ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
DHCP Request
src-mac=<client>, dst-mac=<broadcast>, protocol=udp,
src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
DHCP Acknowledgment
src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp,
src-ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
28
Identificacin de cliente DHCP

DHCP Server puede rastrear la asociacin con un
cliente particular basado en su identificacin
La identificacin puede ser ejecutada en 2 formas
Basado en la opcin caller-id (RFC2132)
Basado en la MAC address, si la opcin caller-id no
est disponible
La opcin hostname permite a los clientes

RouterOS enviar identificacin adicional al server
29
RouterOS - DHCP Client

Solo puede haber un cliente DHCP activo por interface
El cliente aceptar
1 direccin
1 netmask
1 default gateway
2 direcciones DNS server
2 direcciones NTP server
La IP recibida con el netmask ser aadido a la interfaz

correspondiente
El default gateway ser aadido a la tabla de ruteo como una
entrada dinmica
Si ya existe una ruta por default instalada antes de que el cliente
DHCP obtenga una, la ruta obtenida por el cliente DHCP se mostrar
como invlida
30
DHCP Client
31
DHCP Server
Solo puede haber un DHCP Server por
combinacin interface/relay
Para crear un DHCP Server se debe tener
Direccin IP en la interface DHCP Server deseada
Pool de direcciones (address pool) para los clientes
Informacin sobre la red DHCP
Los 3 requerimientos deben corresponder

Lease on Disk debera ser usado para reducir el
nmero de escrituras en el drive (til con flash
drives)
32
DHCP Server
33
DHCP Networks
En el men DHCP Networks se puede configurar
opciones especficas DHCP para una red particular
Algunas de las opciones estn integradas en el
RouterOS, otras pueden ser asignadas en forma
cruda
Informacin adicional:
http://www.iana.org/assignments/bootp-dhcp-parameters/
DHCP Server est habilitado para enviar cualquier

opcin
DHCP Client puede recibir nicamente las opciones
implementadas
34
DHCP Networks
35
DHCP Options
Opciones DHCP implementadas
Subnet-mask (opction 1) netmask

Router (option 3) gateway
Domain-Server (option 6) dns-server
Domain-Name (option 15) domain
NTP-Servers (option 42) ntp-server
NETBIOS-Name-Server (option 44) wins-server
Opciones DHCP configurables (Ejemplo)

Classless Static Route (option 121)
0x100A270A260101=network=10.39.0.0/16
gateway=10.38.2.2
36
DHCP Options
37
IP Address Pool
Los IP Address Pool son usados para definir el
rango de direcciones IP para distribucin
dinmica (DHCP, PPP, HotSpot)
Los Address Pool deben excluir las direcciones
ya ocupadas (direcciones estticas o de
servers)
Es posible asignar ms de un rango a un Pool
Es posible encadenar varios Pools usando la
opcin Next Pool
38
IP Address Pools
39
Address Pool en accin

1
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
prxima direccin
direccin en uso
direccin no usada
direccin reservada pero sin usar
40
Otras configuraciones DHCP Server

Src.address: Es la direccin a la cual el DHCP Client debe enviar los
requerimientos para renovar un IP address lease. Si solo hay una
direccin esttica en la interface DHCP Server y el source-address es
dejado como 0.0.0.0, entonces la direccin esttica ser usada. Si
existen mltiples direcciones en la interface, se debe usar una
direccin en la misma subnet del rango de direcciones a asignar
Delay threshold: Prioriza un DHCP Server sobre otro. A mayor delay
menor prioridad
Add ARP For Leases: Permite aadir entradas ARP para leases si
la interface ARP=reply-only
Always Broadcast: Permite la comunicacin con clientes nonstandard como por ejemplo pseudo-bridges
Bootp Support: Soporte para clientes BOOTP
Use Radius: Especifica si se usa RADIUS Server para asignacin de
leases dinmicos
41
Authoritative DHCP Server

Authoritative: Permite al DHCP Server
responder a los broadcasts de cliente no
conocidos y pide al cliente renovar el lease.
El cliente enva un broadcast solo si el unicast
al server falla cuando se renueva el lease
Athoritative permite
Prevenir las operaciones de Rogue DHCP Servers
Una adaptacin ms rpida de la red a cambios de
configuracin DHCP
42
DHCP Server Autoritativo
43
DHCP Relay
DHCP Relay es un proxy que permite recibir un
DHCP Discovery y un DHCP Request y reenviarlos
al DHCP Server
Solo puede haber un DHCP Relay entre el DHCP
Server y el Cliente DHCP
La comunicacin DHCP con Relay no requiere de
direccin IP en el Relay, sin embargo la opcin
local address del Relay debe ser la misma que
la configurada en la opcin relay address del
Server.
44
DHCP Relay
45
Laboratorio DHCP
Crear 3 configuraciones independientes
Crear DHCP Server para su laptop
Crear DHCP Server y relay para su laptop vecina
(usar la opcin relay)
Crear una red bridged con 2 DHCP Servers y 2
DHCP Cients (laptops) y probar las opciones
authoritative y delay threshold
46
DHCP Relay Lab2

DHCP-Server
Name=To-DHCP-Relay
192.168.0.1/24
2 Pools
Pool1 range=192.168.1.11-192.168.1.100
Pool2 range=192.168.2.11-192.168.2.100
Name=To-DHCP-Server
192.168.0.2/24
DHCP-Relay
Name=Local1
192.168.1.1/24
192.168.1.0/24
DHCP Client
Name=Local2
192.168.2.1/24
192.168.2.0/24
DHCP Client
47
DHCP Relay Lab2

DHCP Server
/ip pool add name=Pool1 ranges=192.168.1.11-192.168.1.100
/ip pool add name=Pool2 ranges=192.168.2.11-192.168.2.100
/ip dhcp-server add interface=To-DHCP-Relay relay=192.168.1.1 address-pool=Pool1 name=DHCP-1 disabled=no
/ip dhcp-server add interface=To-DHCP-Relay relay=192.168.2.1 address-pool=Pool2 name=DHCP-2 disabled=no
/ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 dns-server=159.148.60.20

/ip dhcp-server network add address=192.168.2.0/24 gateway=192.168.2.1 dns-server 159.148.60.20
DHCP-Relay
/ip dhcp-relay add name=Relay1 interface=Local1 dhcp-server=192.168.0.1 local-address=192.168.1.1 disabled=no

/ip dhcp-relay add name=Relay2 interface=Local2 dhcp-server=192.168.0.1 local-address=192.168.2.1 disabled=no
48
DHCP Relay Lab2.1

internet
Name=Public
DHCP-client
NAT
DHCP-Server
2 Pools
Pool1 range=192.168.1.11-192.168.1.100
Pool2 range=192.168.2.11-192.168.2.100
Name=To-DHCP-Relay
192.168.0.1/24
Name=To-DHCP-Server
192.168.0.2/24
DHCP-Relay
Name=Local1
192.168.1.1/24
Name=Local2
192.168.2.1/24
192.168.1.0/24
DHCP Client
192.168.2.0/24
DHCP Client
49
DHCP Authoritative Lab3

Crear una red bridge con 2 DHCP Servers y 2
Clientes DHCP (laptops)
Probar la opcin authoritative
Probar la opcin delay threshold
50
Firewall
51
Estructura de Filtros de Firewall

Las reglas de filtros de firewall estan organizadas
en chains
Existen default chains y user-defined chains
3 default chains
Input: procesa los paquetes enviados al router
Output: procesa los paquetes enviados por el router
Forward: procesa los paquetes enviados a traves del
router
Cada user-defined chain debe estar

subordinada a al menos una de las chains de
default.
52
Diagrama de Estructura de Filtros de Firewall
53
Connection Tracking
Conntrack System: es el corazn del firewall.
Obtiene y maneja la informacin de TODAS las
conexiones activas
Si se dehabilita el conntrack system se perder la
funcionabilidad del NAT y tambien la mayora de
los filtros y de las conexiones de mangle
Cada entrada en la tabla conntrack representa un
intercambio bidireccional de datos
Conntrack hace uso de gran cantidad de recursos
de CPU. Solo debe ser desahibilitado si no se usa
el firewall
54
Ubicacin del ConnTrack
55
Conntrack System
56
Condition: Connection State

Connection State es un estatus asignado a cada
paquete por el sistema ConnTrack
New: el paquete est abriendo una nueva conexin
Established: el paquete perteneces a una conexin ya
conocida
Invalid: el paquete no pertenece a ninguna de las
conexiones conocidas
Related: el paquete est tambin abriendo una nueva
conexin, pero est en algn tipo de relacin a una
conexin ya conocida
Connection state TCP state

57
Ejemplo de Regla Bsica

/ip firewall filter add chain=input connection-state=invalid action=drop
comment=Descartar paquetes invalidos
58
Chain Input
Proteccin del router - permitiendo solamente
los servicios necesarios de fuentes confiables
con carga satisfactoria
59
Chain Input Conexiones Vlidas

Estas reglas aseguran que solo las conexiones vlidas vayan al
router y har un "drop" a las invlidas
/ip firewall filter
add chain=input connection-state=established action=accept
comment="acepta los paquetes de conexiones establecidas"
disabled=no
add chain=input connection-state=related action=accept
comment="acepta los paquetes de conexiones relacionadas"
disabled=no
add chain=input connection-state=invalid action=drop
comment="descarta los paquetes invlidos" disabled=no
60
Chain Input Address List

Esta regla permite el acceso total al router para ciertas direcciones
IP
/ip firewall filter
add chain=input src-address-list=safe action=accept
comment="permite el acceso al router desde la red"
disabled=no
61
Connection State - Laboratorio

Crear 3 reglas para asegurar que solamente los nuevos
paquetes connection-state procedern a pasar a traves
del filtro input
Drop todos los paquetes invlidos connection-state
Accept todos los paquetes relacionados connection-state
Accept todos los paquetes establecidos connection-state
Crear 2 reglas para asegurar que solamente usted

estar habilitado para conectarse al router
Accept todos los paquetes desde su red local
Drop todos los dems paquetes
62
Prximos problemas
Problemas:
Algunas veces usted obtiene bastante

trfico inusual y paquetes que pasan a
travs de su router
Algunos de sus clientes regulares usan
routers para compartir la conexin con
sus vecinos
Algunos de sus clientes regulares usan
el puerto 80 de HTTP para trfico P2P
encriptado
63
Tipos de Network Intrusion

Network Intrusion es un riesgo de seguridad muy
serio que podra resultar no solo en una
denegacin temporal sino tambin en un rechazo
total del servicio de red
Podemos hablar de 4 tipos principales de
Network Intrusion
Ping flood
Port scan
DoS attack
DDoS attack
64
Ping Flood
Ping flood usualmente
consiste de volmenes
de mensajes ICMP
aleatorios
Con la condicin limit
es posible limitar la
regla para que coincida
con un lmite dado
Esta condicin se usa
frecuentemente con la
accin log
65
Tipos de mensaje ICMP

El router tpico usa solamente 5 tipos de
mensajes ICMP (type:code)
Para PING: mensajes 0:0 y 8:0
Para TRACEROUTE: mensajes 11:0 y 3:3
Para Path MTU discovery: mensaje 3:4
Otros tipos de mensajes ICMP deberan ser

bloqueados
66
Ejemplo de regla de mensaje ICMP
67
Chain Input Jump

Salta" a cadenas que ya se han creado.
"jumping" es muy til porque permite reusar la misma regla en
diferentes cadenas
Input y Forward pueden "saltar" al mismo "chain" y ejecutar las
mismas reglas
/ip firewall filter
add chain=input protocol=icmp action=jump jump-target=ICMP
comment="jump al chain ICMP" disabled=no
68
Laboratorio ICMP Flood

Cree un nuevo chain ICMP
(Accept) Acepte los 5 mensajes ICMP necesarios
(Set) Configure el match rate a 5pps con
posibilidad de 5 packet burst
(Drop) Descarte todos los otros paquetes ICMP
Mueva todos los paquetes ICMP al chain ICMP

Cree una regla de accin jump en el chain Input
Ubquela adecuadamente
69
Chain ICMP
Estas reglas forman el "chain" ICMP a las cuales se saltara hacia y desde.
Se limita varios paquetes ICMP para detener el ping flooding
/ip firewall filter
add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5
action=accept comment="0:0 and limit for 5pac/s" disabled=no
add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5
add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5
add chain=ICMP protocol=icmp action=drop comment="Drop everything
else" disabled=no
70
Port Scan
Port Scan es una
indagacin secuencial
de puertos TCP (UDP)
PSD (Port Scan
Detection) es posible
solo para el protocolo
TCP
Puertos bajos
De 0 a 1023
Puertos altos
De 1024 a 65535
71
Ataques DoS
El principal objetivo de los ataques DoS es el
consumo de recursos, como el tiempo de CPU o
el ancho de banda, por lo que los servicios
estndares obtendrn un Denial of Services (DoS)
Usualmente el router es inundado con paquetes
TCP/SYN (requerimiento de conexin).
Ocasionando que el server responda con un
paquete TCP/SYN-ACK, y esperando por un
paquete TCP/ACK
La mayora de atacantes DoS son clientes
infectados de virus
72
Proteccin contra ataques DoS

Todas las IPs con ms de 10 conexiones al router
deberan ser consideradas como atacantes DoS
Con cada conexin TCP descartada (dropped) se
permitir al atacante crear una nueva conexin
Deberamos implementar la proteccin DoS en 2
pasos
Detection: creando una lista de atacantes DoS en base
a la conexin lmite
Suppression: aplicando restricciones a los atacantes
DoS detectados
73
Deteccin de ataques DoS
74
Supresin de ataques DoS

Para detener al
atacante de crear
nuevas conexiones se
usa la opcin tarpit
Se debe ubicar esta
regla antes de la regla
de deteccin o sino la
entrada del address-list
la reescribir todo el
tiempo
75
Laboratorio DoS - PSD

Crear proteccin PSD
Crear una regla PSD Drop en el chain Input
Ubicarla adecuadamente
Crear proteccin DoS

Crear una regla para suprimir DoS en el chain Input
Crear una regla para detectar DoS en el chain Input
76
Chain Input Port Scanning - DoS

Estas reglas son reactivas a intentos de DoS y port scanning.
Port scanning es dado de baja, pero un ataque DoS es "tarpited"
/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=drop
comment="detecta and descarta las conexiones de port scan"
disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-addresslist=black_list action=tarpit comment="suprime los ataques
DoS" disabled=no
add chain=input protocol=tcp connection-limit=10,32 action=
add-src-to-address-list address-list=black_list addresslist-timeout=1d comment="detecta ataques DoS" disabled=no
77
Ataques DDoS
Un ataque Distributed
Denial of Service es
muy similar al ataque
DoS, y ocurre desde
mltiples sistemas
comprometidos
La nica cosa que
podra ayudar es la
opcin TCPSyn
Cookie en el
Conntrack System
78
Chain Input Broadcast

Esta regla permite el trfico broadcast al router
Esto es necesario algunas veces por servicios como NTP
/ip firewall filter
add chain=input dst-address-type=broadcast action=accept
comment="permitir trafico Broadcast" disabled=no
79
Servicios de RouterOS
80
Chain Services
Los siguientes son servicios que permite a CUALQUIERA acceder al router.
La mayora estn deshabilitados por default
Usualmente los siguientes servicios deberan estar siempre disponibles
MAC Telnet
Bandwidth Test Server
MT Discovery
/ip firewall filter
add chain=services src-address-list=127.0.0.1 dst-address=127.0.0.1
action=accept comment="accept localhost" disabled=no
add chain=services protocol=udp dst-port=20561 action=accept comment="allow
MACwinbox " disabled=no
add chain=services protocol=tcp dst-port=2000 action=accept
comment="Bandwidth server" disabled=no
add chain=services protocol=udp dst-port=5678 action=accept comment=" MT
Discovery Protocol" disabled=no
add chain=services protocol=tcp dst-port=161 action=accept comment="allow
SNMP" disabled=yes
81
Chain Services
/ip firewall filter
add chain=services protocol=udp dst-port=123 action=accept comment="Allow
NTP" disabled=yes
add chain=services protocol=tcp dst-port=1723 action=accept comment="Allow
PPTP" disabled=yes
add chain=services protocol=gre action=accept comment="allow PPTP and EoIP"
disabled=yes
DNS request" disabled=yes
add chain=services protocol=udp dst-port=53 action=accept comment="Allow
DNS request" disabled=yes
add chain=services protocol=udp dst-port=1900 action=accept comment="UPnP"
disabled=yes
add chain=services protocol=tcp dst-port=2828 action=accept comment="UPnP"
disabled=yes
add chain=services protocol=udp dst-port=67-68 action=accept comment="allow
DHCP" disabled=yes
Web Proxy" disabled=yes
https " disabled=yes
add chain=services action=return comment="" disabled=no
82
Servicios RouterOS - Laboratorio

Crear un chain servicios
Crear reglas para permitir que los servicios
necesarios al RouterOS sean accedidos
Crear un a regla jump desde la cadena
input a la cadena services
Escribir un comentario para cada regla de
firewall
Verificar la comunicacin con su vecino
83
Chain Input Final

Esta regla deniega todos los accesos al router
Si el trafico no ha sido aceptado por uno de las reglas anteriores,
entonces se da de baja
/ip firewall filter
add chain=input action=log log-prefix="Filter:" comment=""
disabled=no
add chain=input action=drop comment= "descartar todo lo demas"
disabled=no
84
Chain Forward
Proteccin a los clientes de virus y Proteccin
del internet de los clientes
85
Chain Forward Conexiones Vlidas

Estas reglas aseguran que solo se acepten las conexiones vlidas
QUE PASAN A TRAVES del router y har un "drop" a las invlidas
/ip firewall filter
add chain=forward connection-state=established action=accept
comment="acepta los paquetes de conexiones establecidas"
disabled=no
add chain=forward connection-state=related action=accept
comment="acepta los paquetes de conexiones relacionadas"
disabled=no
add chain=forward connection-state=invalid action=drop
comment="descarta los paquetes invlidos" disabled=no
86
Control de Virus
Filtro para descartar todos los paquetes no-deseados que parezcan
venir de equipos infectados.
En lugar de aadir esta regla en el chain forward, vamos a crear un
nuevo chain para todo el trafico netbios (y similar)
/ip firewall filter
add chain=virus protocol=tcp dst-port=135-139 action=drop
comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop
comment="Drop Messenger Worm"
add chain=virus protocol=tcp dst-port=445 action=drop
add chain=virus protocol=udp dst-port=445 action=drop
87
Control de Virus
/ip firewall filter
add chain=virus protocol=tcp
comment="________"
MyDoom"
requester"
cast"
Virus"
Dumaru.Y"
dst-port=593 action=drop comment="________"

dst-port=1024-1030 action=drop
dst-port=1080 action=drop comment="Drop
dst-port=1214 action=drop comment="________"
dst-port=1363 action=drop comment="ndm
dst-port=1364 action=drop comment="ndm server"
dst-port=1368 action=drop comment="screen
dst-port=1373 action=drop comment="hromgrafx"
dst-port=1377 action=drop comment="cichlid"
dst-port=1433-1434 action=drop comment="Worm"
dst-port=2745 action=drop comment="Bagle
dst-port=2283 action=drop comment="Drop
88
Control de Virus
/ip
add
add
add
add
firewall filter
chain=virus protocol=tcp
OptixPro"
add chain=virus protocol=udp
Agobot, Gaobot"
dst-port=2535 action=drop comment="Drop Beagle"

dst-port=2745 action=drop comment="Drop Beagle.C-K"
dst-port=3127-3128 action=drop comment="Drop MyDoom"
dst-port=3410 action=drop comment="Drop Backdoor
dst-port=4444 action=drop comment="Worm"
dst-port=4444 action=drop comment="Worm"
dst-port=5554 action=drop comment="Drop Sasser"
dst-port=8866 action=drop comment="Drop Beagle.B"
dst-port=9898 action=drop comment="Drop Dabber.A-B"
dst-port=10000 action=drop comment="Drop Dumaru.Y"
dst-port=10080 action=drop comment="Drop MyDoom.B"
dst-port=12345 action=drop comment="Drop NetBus"
dst-port=17300 action=drop comment="Drop Kuang2"
dst-port=27374 action=drop comment="Drop SubSeven"
dst-port=65506 action=drop comment="Drop PhatBot,
89
Chain Forward Jump

La lista anterior contiene los puertos y protocolos malos usados
por varios virus y troyanos.
Se puede saltar a esta lista desde el chain forward usando
action=jump
/ip firewall filter
add chain=forward action=jump jump-target=virus comment=saltar
al virus chain
Si el paquete no concuerda con ninguna de la reglas del virus-chain, el

procesamiento se regresa al chain-forward
90
Chain Forward HTTP/SNMP

Bloquear todo el trafico excepto el que especificamente se permite
pasar.
Permitir HTTP y SMTP, algunos TCP y UDP, e ICMP (ping)
/ip firewall filter
add chain=forward action=accept protocol=tcp dst-port=80
comment="permitir HTTP"
add chain=forward action=accept protocol=tcp dst-port=25
comment="permitir SMTP"
add chain=forward protocol=tcp comment="permitir TCP"
add chain=forward protocol=icmp comment="permitir ping"
add chain=forward protocol=udp comment="permitir udp"
add chain=forward action=drop comment="drop todo lo demas"
91
Laboratorio Chain Forward

Crear 3 reglas para asegurar que solamente los
paquetes connection-state=new pasarn a travs
del filtro forward
Drop todos los paquetes connection-state=invalid
Accept todos los paquetes connection-state=related
Accept todos los paquetes connection-state=established
Crear una regla jump para el chain viruses
92
Bogon IPs
Hay aproximadamente 4,3 billones de direcciones IPv4
Hay varios rangos de direcciones IP restringidas en la red pblica
Hay varios rangos de IP reservados (que no se usan hasta el
momento) para propsitos especficos
Hay muchos rangos de IP sin usar
http://www.iana.org/assignments/ipv4-address-space/
93
Bogon IPs
0.0.0.0/8 reserved for self-identification [RFC3330]
10.0.0.0/8 (10.x.x.x)
127.0.0.0/8 is reserved for Loopback [RFC3330]
169.254.0.0/16 reserved for Link Local [RFC3330]
172.16.0.0/12 reserved for Private-Use Networks [RFC1918]
(172.16.x.x - 172.31.x.x)
192.0.2.0/24 reserved for TEST-NET-1 [RFC-iana-ipv4-examples-02.txt]
192.88.99.0/24 reserved for 6to4 Relay Anycast [RFC3068]
192.168.0.0/16 reserved for Private-Use Networks [RFC1918]
198.18.0.0/15 reserved for Network Interconnect Device Benchmark Testing

94
Opciones Address List

En lugar de crear una
regla de filtrado para
cada direccin de red
IP, usted puede crear
una nica regla de lista
de direcciones IP
Use las opciones
Src./Dst. Address List
Cree un Address List
en el men
/ip firewall address-list
95
Laboratorio Address List

Haga un Address List de Bogon IPs ms comunes
96
Address List - Laboratorio

Permitir que solo los paquetes de direcciones vlidas de internet
ingresen a la red
Permitir que solo los paquetes de direcciones de clientes
conocidos ingresen a la red
Permitir que solo los paquetes de direcciones de cientes vlidos
salgan de la red
Permitir que solo los paquetes a direcciones vlidas de internet
salgan de la red
Ubicar las reglas adecuadamente
97
Network Address Translation

(NAT)
Destination NAT, Source NAT, NAT Traversal
98
Tipos de NAT
Puesto que hay solo 2 direcciones IP y 2 puertos
en una cabecera de paquete IP, solo hay 2 tipos
de NAT
El uno, re-escribe la direccion IP origen y/o el puerto =
source NAT (src-nat)
El otro, re-escribe la direccin IP destino y/o el puerto
= destination NAT (dst-nat)
Las reglas de Firewall NAT solo procesan el primer

paquete de cada conexin (Paquetes de
Conecction State = new)
99
Firewall NAT Structure

Dstnat procesa el trafico que se envia a y a
traves del router, antes de dividirlo en las
cadenas input y forward de los filtros de
firewall
Srcnat procesa el trafico que se envia desde
y a traves del router, despues de que se ha
fusionado de los chains output y forward
de los filtros de firewall
100
Dst-nat
Las reglas de Firewall NAT estn organizadas en
cadenas (chains)
Existe 2 chains por default
Dstnat: procesa el trfico enviado hacia y a travs del
router, antes de dividirlo en los chain input y
forward del firewall filter
Srcnat: procesa el trfico enviado desde y hacia el
router, despus que ha sido fusionado de los chain
output y forward del firewall filter
Existen tambien chains definidos por el usuario

101
Diagrama de IP Firewall
102
Dst-nat
La accin dst-nat cambia la direccin y
puerto destino del paquete a una direccin y
puerto especificado
Esta accin solo puede hacerse en el chain
dstnat
Aplicacin tpica: asegurar el acceso a los
servicios de red local desde redes pblicas
103
Ejemplo de dst-nat
104
Redirect
Cambia la direccin destino del paquete a la
direccin y puerto especificado del router
Esta accin solo puede ejecutarse en el chain
dstnat
Aplicacin tpica: hacer proxy transparente de
servicios de red (DNS, HTTP)
105
Ejemplo de Regla Redirect
106
Redirect - Laboratorio
Capturar todos los paquetes TCP y UDP en el
puerto 53 originados en su red privada
192.168.XY.0/24 y redireccionarla al router
Configurar los DNS Server de las laptops para
que tome las direcciones automticamente
Limpiar los cache de los DNS de los routers y
de los browsers
Intentar navegar a internet
Revisar el DNS cache del router
107
Dst-nat Laboratorio
Capturar todos los paquetes TCP en puerto 80
originados en la red privada 192.168.XY.0/24 y
cambiar la direccin destino a 10.1.1.254
usando la regla dst-nat
Limpiar el cache del browser y de las laptops
Intentar navegar a internet
108
Universal Plug-and-Play
Mikrotik RouterOS permite habilitar el soporte
UPnP para el router
UPnP permite establecer conectividad en ambas
direcciones incluso si el cliente esta detrs de un
NAT. El cliente debe tener tambien soporte UPnP
Existen 2 tipos de interfaces de tipo UPnP
habilitados en el router
Internal: a la que estan conectados los clientes locales
External: a la que esta conectada Internet
109
Universal Plug-and-Play
110
Primeros clientes VIP
Situacin:
Usted tiene direcciones IP privadas y
direcciones pblicas /30.
Usted algunas veces alcanza la velocidad
lmite del ISP (5Mbps/5Mbps)
Requerimientos:
Direcciones IP pblicas para clientes VIP
Garantizar la velocidad para los clientes
VIP
Clients:
I love my ISP
Web-server
VIP client 2
VIP client 1
111
Inconvenientes del Source NAT

Los hosts atrs de un router NAT-enabled no
tienen una verdadera conectividad end-to-end
No se puede iniciar una conexin desde afuera
Algunos servicios TCP trabajarn en modo pasivo
El src-nat detrs de varias direcciones IP es
impredecible
Algunos protocolos requerirn los llamados NAT
Helpers para poder trabajar correctamente (NAT
Traversal)
112
NAT Helpers
Se puede especificar puertos para los NAT Helpers que
ya existen, pero no se puede aadir nuevos Helpers
113
Laboratorio src-nat
Se le ha asignado una direccin IP pblica
10.1.1.XY/24
Aada la regla src-nat para ocultar su red
privada 192.168.XY.0/24 detrs de la red pblica
Conctese desde su laptop usando Winbox, SSH,
o Telnet a travs de su router al gateway principal
10.1.1.254
Verifique la direccin IP desde la cual se est
conectando (use /user active print en el
gateway principal)
114
Firewall Mangle
Marcado de paquetes IP y ajuste de campos de
cabecera IP
115
Que es Mangle?
Permite marcar los paquetes IP con marcas
especiales
Estas marcas son usadas por otros recursos
como ruteo y admistracin de ancho de banda
para identificar los paquetes
Adicionalmente el Mangle se usa para
modificar algunos campos en la cabecera IP,
como los campos TOS (DSCP) y TTL
116
Estructura del Mangle

Las reglas del mangle estn organizadas en
cadenas
Existen 5 cadenas predeterminadas
Prerouting: hace una marca antes del queue Global-In
Postrouting: hace una marca antes del queue GlobalOut
Input: hace una marca antes del filtro Input
Output: hace una marca antes del filtro Output
Forward: hace una marca antes del filtro Forward
Se pueden aadir nuevos chains definidos por el

usuario, tantos como sean necesarios
117
Diagrama de Mangle y Queue
118
Acciones del Mangle

Mark-connection: marca la conexin (solo el
primer paquete)
Mark-packet: marca un flujo (todos los paquetes)
Mark-routing: marca los paquetes para polticas
de ruteo
Change MSS: cambia el mximo tamao del
segmento del paquete
Change TOS: cambia el tipo de servicio
Change TTL: cambia el time-to-live
Strip IPv4 options
119
Marcando Conexiones
Se usa mark-connection para identificar uno o
un grupo de conexiones
Las marcas de conexiones son almacenadas in
tabla connection tracking
Solo puede haber una marca de conexin para
una conexin
Connection Tracking ayuda a asociar cada
paquete a una conexin especfica
(connection mark)
120
Regla de Marcado de Conexin
121
Marcado de Paquetes
Los paquetes pueden ser marcados
Indirectamente: usando el recurso Connection
Tracking, basado en conecction marks creados
previamente (es ms rpido)
Directamente: sin el Connection Tracking. No se
necesitan connection marks, el router comparar
cada paquete en base a una conexin dada. Este
proceso imita algo de las caractersticas del
connection tracking
122
Regla del Marcado de Paquetes
123
Mangle Packet Mark - Laboratorio

Marcar todas las conexiones de 192.168.XY.1
(VIP1_conn)
Marcar todos los paquetes de las conexiones
VIP1_conn
Marcar todas las conexiones de 192.168.XY.2
(VIP2_conn)
Marcar todos los paquetes de las conexiones
VIP2_conn
Marcar todas las otras conexiones (other_conn)
Marcar todos los paquetes de las otras conexiones
other_conn
124
Vista del Mangle
125
Mangle Action change-ttl

TTL es un lmite de dispositivos de Capa 3 (L3)
que el paquete IP puede experimentar antes de
que sea descartado
El valor por default del TTL es 64 y cada router
reduce el valor en uno justo antes de la hacer el
forwarding
El router no pasar el trfico al siguiente
dispositivo si recibe un paquete IP con TTL=1
Aplicacin til: eliminar la posibilidad a los
clientes de crear redes enmascaradas
126
Cambiando el TTL
127
HTB
Hierarchical Token Bucket
128
HTB
Toda la implementacin de Calidad de Servicio
(QoS) en RouterOS est basado en HTB
HTB permite crear una estructura de cola
jerrquica y determinar relaciones entre colas
padres e hijos, y la relacin entre las colas
hijos
RouterOS soporta 3 HTBs virtuales (global-in,
global-total, global-out) y una ms justo antes
de cada interface
129
Mangle y HTBs
130
HTB (cont.)
Cuando el paquete viaja a travs del router,
pasa todos los 4 rboles HTB
Cuando el paquete viaja hacia el router, pasa
solamente los HTB global-in y global-total
Cuando el paquete viaja desde el router pasa
por global-out, global-total y la interface HTB
131
HTB - Estructura
Tan pronto como una cola tiene por lo menos un
hijo, se vuelve una cola padre
Todas las colas hijos (no importa cuantos niveles
de padres ellos tengan) estn en el mismo nivel
bajo de HTB
Las colas hijo son las que efectan el consumo de
trfico, las colas padre son responsables
nicamente de la distribucin del trfico
Las colas hijo obtendrn primero el limit-at y
luego el resto del trfico ser distribuido por los
padres
132
HTB - Estructura
133
HTB Dual Limitation

HTB tiene 2 lmites de tasa
CIR (Committed Information Rate) (limit-at en
RouterOS): en el peor escenario el flujo de datos tendr
esta cantidad de trfico sin importar que (asumiendo que
se pudiera enviar tal cantidad de datos)
MIR (Maximal Information Rate) (max-limit en
RouterOS): en el mejor escenario, es la tasa que el flujo
puede obtener, si es que el padre de la cola (queue) tiene
ancho de banda de reserva
En primera instancia el HTB tratar de satisfacer cada

limit-at de las colas hijos, solamente entonces tratar
de alcanzar el max-limit
134
Dual Limitation
La tasa mxima (maximal rate) del padre debe
ser igual o mayor que la suma de los CIR de los
hijos
MIR (parent) >= CIR (child1)++CIR(child N)
La tasa mxima de cualquier hijo debera ser

menor o igual al maximal rate del padre
MIR (parent) >= MIR (child 1)
MIR (parent) >= MIR (child 2)
MIR (parent) >= MIR (child N)
135
HTB limit-at
136
HTB limit-at
Queue01 limit-at=0Mbps max-limit=10Mbps

Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Resultado
Queue03 recibir 6Mbps
Clarification: HTB was build in a way, that, by satisfying all limit-ats, main
queue no longer have throughput to distribute
137
HTB max-limit
138
HTB max-limit

Resultado
Clarification: After satisfying all limit-ats HTB will give throughput to queue
with highest priority.
139
Caractersticas HTB - Priority
Trabaja solo en las colas hijos

8 = prioridad ms baja
1 = prioridad ms alta
La cola con la prioridad ms alta tendr la
oportunidad de satisfacer su max-limit antes
que las otras colas
La priorizacin del trfico actual trabajar
nicamente si los lmites son especificados.
Las colas sin lmites no priorizarn NADA
140
HTB - limit-at del Padre
141
HTB limit-at del Padre

Resultado

Clarification: After satisfying all limit-ats HTB will give throughput to queue with
highest priority. But in this case inner queue Queue02 had limit-at specified, by
doing so, it reserved 8Mbps of throughput for queues Queue04 and Queue05.
From these two Queue04 have highest priority, that is why it gets additional
throughput.
142
HTB limit-at > max-limit del Padre
143
HTB limit-at > max-limit del Padre

Resultado
Queue03 recibir ~3Mbps

Clarification: Only by satisfying all limit-ats HTB was forced to allocate 20Mbps 6Mbps to Queue03, 2Mbps to Queue04, 12Mbps to Queue05, but our output
interface is able to handle 10Mbps. As output interface queue is usually FIFO
throughput allocation will keep ratio 6:2:12 or 3:1:6
144
Queue Tree
Estructura Avanzada de Colas
145
Queue Tree
Es una implementacin directa de HTB
Cada cola en queue tree puede ser asignada nicamente
en un HTB
Cada cola hijo DEBE tener un packet mark asignado a l
146
Queue Tree y Simple Queues

El Queue Tree puede ser ubicado en 4 lugares
diferentes:
Global-in (la parte direct de los simple queues son
ubicados aqu automticamente)
Global-out (la parte reverse de los simple queues son
Global-total (la parte total de los simple queues son
Interface queue
Si se implementa en el mismo lugar Simple Queue, ste

tomar el trfico antes que el Queue Tree
147
HTB Lab
Crear un Queue Tree del laboratorio anterior
Extender la configuracin del Mangle y del Queue Tree para
priorizar el trfico ICMP y HTTP sobre todo el resto de trfico
SOLAMENTE para clientes vlidos
Reemplace el packet-mark de los clientes vlidos con 3 marcas
especficas de tipo de trfico
Cree 3 colas hijo para las colas de clientes vlidos en queue tree
Asigne marcas de paquetes a las colas
Cree el mismo Queue Tree pero para Upload

Consuma todo el trfico disponible usando el bandwidth-test
(a travs del router) y verifique los tiempos de respuesta del
PING
Cambie la configuracin del ICMP a la ms alta
Verifique los tiempos de respuesta del PIN
148
ISP de tamao mediano
Situacin:
Su red est creciendo rpidamente y
ahora oferce IPs pblicas a sus clientes
Requerimientos:
Transferir todos los viejos clientes
de las direcciones locales a
direcciones pblicas
Incrementar el desempeo de la
navegacin
149
NAT Action Netmap

Puede ser usado en ambos chains src-nat y dstnat
Permite crear un NATeo de un rango de
direcciones a otro rango de direcciones con solo
una regla
Se puede enmascarar 192.168.0.3-192.168.0.103
(100 direcciones) a 88.188.32.3-88.188.32.103
con solo una regla
Es posible redireccionar 88.188.32.388.188.32.103 (100 direcciones ) a 192.168.0.3192.168.0.103 con una segunda regla
150
NAT Action same

Puede ser usado en ambos chains src-nat y dstnat
Asegura que el cliente ser NATeado a la misma
direccin del rango especificado cada vez que
intente comunicarse con un destino que fue
usado antes
Si el cliente obtiene la IP 88.188.32.104 del rango
cuando se comunic a un server especfico, cada
vez que se comunique con ese Server usar la
misma direccin
151
Caracterstica Burst del QoS

Burst es una de las mejores formas de
incrementar el desempeo HTTP
Los Bursts son usados para permitir altas tasas de
datos por un perodo corto de tiempo
Si una tasa de datos promedio es menor que el
burst-threshold, el burst puede ser usado (la tasa
de datos actual puede alcanzar el burst-limit)
La tasa de datos promedio se calcula del ltimos
segundos de burst-time
152
Burst Tasa de datos promedio

La tasa de datos promedio (average data rate) se
calcula de la siguiente forma:
Burst-time se divide en 16 perodos
El router calcula average data rate de cada clase sobre
esos pequeos perodos
Note que el actual burst period no es igual al bursttime. Puede ser varias veces ms corto que el bursttime dependiendo del histrico de los parmetros
max limit, burst-limit, burst-threshold, y actual data
rate (ver el grfico ejemplo en el siguiente slide)
longest-burst-time = burst-threshold * burst-time / burst-limit
153
Burst
154
Burst (Parte 2)
155
Web proxy
Web-proxy tiene 3 carctersticas principales
Caching de trfico HTTP y FTP
Filtro de nombres DNS
Redireccionamiento de DNS
Web-proxy tiene dos modos de operacin

Regular: el browser debe ser configurado para
usar este proxy
Transparent: este proxy no es visible a los clientes
y se deben aplicar reglas de NAT
156
Web-proxy Caching
No caching
Max-cache-size = none
Cache to RAM
Max-cache-size none
Cache-on-disk = no
Cache to HDD
Max-cache-size none
Cache-on-disk = yes
Cache drive
157
Opciones Web-Proxy
Maximal-clientconnections - number of
connections accepted
from clients
Maximal-serverconnections - number of
connections made by
server
158
Opciones Web-proxy
Serialize-connections: usa solo una conexin
para la comunicacin proxy y server (si el server
soporta conexin HTTP persistente)
Always-from-cache: ignora las peticiones
refresh del cliente si el contenido es fresco
Max-fresh-time: especifica cunto tiempo los
objetos sin un tiempo de expiracin explcita
sern considerados frescos
Cache-hit-DSCP: especifica el valor DSCP para
todos los paquetes generados desde el webproxy cache
159
Estadsticas Web-proxy
160
Proxy Rule Lists

Web-proxy soporta 3 conjuntos de reglas para
peticiones de filtrado HTTP
Access List: dicta la poltica de si permitir o no
requerimientos HTTP especficos
Direct Access List: trabaja solo si se especifica el
parent-proxy . Dicta la poltica de si hacer
bypass el parent proxy por un requerimiento
especfico HTTP, o no.
Cache List: dicta la poltica de si permitir o no que
un requerimiento HTTP especfico sea cached
161
Proxy Rules
Es posible interceptar
requerimientos HTTP
basados en
Informacin TCP/IP
URL
Mtodo HTTP
Access List tambin

permite redireccionar
peticiones denegadas a
una pgina especfica
162
URL Filtering
http://www.mikrotik.com/docs/ros/2.9/graphics:packet_flow31.jpg
Destination path
Destination host
Caracteres especiales
* cualquier nmero de caracteres
? cualquier carcter
www.mi?roti?.com
www.mikrotik*
*mikrotik*
163
Expresiones Regulares
Ubique : al comienzo para habilitar un modo de
expresin regular
^ mostrar que ningn smbolo es permitido antes
del patrn dado
$ mostrar que ningn smbolo es permitido despus
del patrn dado
[.] una clase de caracter concuerda con un simple
caracter de todas las posibiliades ofrecidas por la clase
de caracteres
\ (backslash) seguido de cualquier [\^$.|?*+()
suprime su significado especial
164
Laboratorio Web-Proxy
Habiltar el transparent web-proxy en su
router haciendo caching a la memoria
Crear reglas en el access list para chequear su
funcionalidad
Crear reglas en el direct access list para
chequear su funcionalidad
Crear reglas en el cache list para chequear su
funcionalidad
165
Tipos de Queue
RouterOS tiene 4 tipos de colas:
FIFO: First In First Out (para Bytes o para Paquetes)
RED: Random Early Detect (o Drop)
SFQ: Stochastic Fairness Queuing
PCQ: Per Connection Queuing (Propietario de
MikroTik)
Cada Queue Type tiene 2 aspectos

Aspecto de Scheduler
Aspecto de Shaper
166
100% Shaper
167
100% Scheduler
168
Default Queue Types
169
FIFO (comportamiento)
Lo que llega primero se maneja primero, lo que llega
despus espera hasta que el primer paquete es finalizado.
El nmero de unidades de espera (Paquetes o Bytes) es
limitado por la opcin queue size. Si el queue est lleno
las siguientes unidades son descartadas
170
171
172
RED (comportamiento)
Similar a FIFO con la carcterstica
de que existe la probabilidad de un
drop adicional incluso si el queue
no est lleno
Esta probabilidad se basa en la
comparacin del promedio de la
longitud del queue sobre algn
perodo de tiempo para un
threshold mnimo o mximo.
Mientras ms cercano est al
mximo Threshold es ms grande
la probabilidad de que se haga un
drop
173
174
SFQ (comportamiento)
Basado en el valor hash de las direcciones origen y
destino, el SFQ divide el trfico en 1024 sub-streams
Entonces el algoritmo Round Robin distribuir igual
cantidad de trfico a cada sub-stream
175
176
Ejemplo SFQ
SFQ debera ser usado para balancear
conexiones similares
SFQ se debe usar para administrar el flujo de
informacin hacia o desde los servers, por lo
tanto puede ofrecer servicios a cada cliente
Ideal para la limitacin de trfico P2P. Es
posible ubicar lmites estrictos sin hace drop
a las conexiones
177
PCQ (comportamiento)
El trfico se divide en sub-streams. Cada sub-stream
puede ser considerado como una cola FIFO con un
tamao de queue especificado por la opcin limit
Despus este PCQ puede ser considerado como un
FIFO queue donde el queue size es especificado por la
opcin total-limit
178
179
180
Test
MTCTCE
MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission

MikroTik, NSTREME, RouterOS and RouterBOARD are registered trademarks of company Mikrotkls SIA.
181

MTCTCE

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

MTCTCE

Încărcat de

Drepturi de autor:

Formate disponibile

MikroTik Certified

Traffic Control Engineer

11:00 13:00 Sesin II

14:00 15:30 Sesin III

16:00 17:30+ Sesin IV

Objetivos del curso

Recuerde su nmero XY de clase

Mi nmero es: _____

Configurar Laboratorio en clase

Configurar Laboratorio en clase (cont.)

Configurar los nombres de las interfaces

Actualice su router a la versin RouterOS 5.x

DNS Cache - Configuracin

DNS cliente y cache

DNS Cache - Configuracin

Monitoreo del Cache (ip dns cache)

Monitoreo del Cache (ip dns cache)

Monitoreo del Cache (ip dns cache)

Monitoreo del Cache (ip dns cache all)

Monitoreo del Cache (ip dns cache all)

Borrando el DNS Cache

Laboratorio DNS Cache

DHCP es inseguro y debera ser usado

Escenario de comunicacin DHCP

Identificacin de cliente DHCP

La opcin hostname permite a los clientes

RouterOS - DHCP Client

La IP recibida con el netmask ser aadido a la interfaz

Los 3 requerimientos deben corresponder

DHCP Server est habilitado para enviar cualquier

Subnet-mask (opction 1) netmask

Opciones DHCP configurables (Ejemplo)

Address Pool en accin

direccin reservada pero sin usar

Otras configuraciones DHCP Server

Authoritative DHCP Server

DHCP Server Autoritativo

DHCP Relay Lab2

DHCP Relay Lab2

/ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 dns-server=159.148.60.20

/ip dhcp-relay add name=Relay1 interface=Local1 dhcp-server=192.168.0.1 local-address=192.168.1.1 disabled=no

DHCP Relay Lab2.1

DHCP Authoritative Lab3

Estructura de Filtros de Firewall

Cada user-defined chain debe estar

Diagrama de Estructura de Filtros de Firewall

Ubicacin del ConnTrack

Condition: Connection State

Connection state TCP state

Ejemplo de Regla Bsica

Chain Input Conexiones Vlidas

Chain Input Address List

Connection State - Laboratorio

Crear 2 reglas para asegurar que solamente usted

Algunas veces usted obtiene bastante

Tipos de Network Intrusion

Tipos de mensaje ICMP

Otros tipos de mensajes ICMP deberan ser

Ejemplo de regla de mensaje ICMP

Chain Input Jump

Laboratorio ICMP Flood

Mueva todos los paquetes ICMP al chain ICMP

Proteccin contra ataques DoS

Deteccin de ataques DoS