MikroTik Certified Traffic Control Engineer

(MTCTCE)

www.ninsys.com

“© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.”

About the trainer
Luis O. Barbosa, M.s.i.a.
lbarbosa@ninsys.com

MikroTik Trainer - TR0261

CCNA – MCSE – SEC+
MTCNA – MTCTCE – MTCWE
MTCRE – MTCINE

www.ninsys.com

Tel: 787.301.0075 / info@ninsys.com

© MikroTik 2
 Introducción personal
• Presentarse individualmente
– Nombre
– Compañía
– Conocimiento previo sobre RouterOS
– Conocimiento previo sobre networking
– Qué espera de este curso?
• Recuerde sus números
(X = número asignado)

© MikroTik
 Objetivos del curso
• Proporcionar el conocimiento y las habilidades en
el manejo de MikroTik RouterOS y las capacidades
de control de tráfico avanzado en redes de
pequeña y gran escala.
• Luego de completar el curso usted estará en
capacidad de planificar, implementar, afinar y
corregir configuraciones de control de tráfico
implementadas con MikroTik RouterOS

© MikroTik
 TÓPICOS

 Firewall Filter/NAT/Mangle
 Quality of Service (HTB, Queues)
 DNS (Client/Cache)
 DHCP (Client/Server/Relay)
 Web Proxy

© MikroTik
 Diagrama
WAN: 10.1.1.X/24
LAN: 192.168.X.1/24

laptop1

laptop2 Internet
10.1.1.254
laptop3

laptop4
© MikroTik 6
 Configurar Laboratorio en clase
• Configurar una red ethernet 192.168.X.0/24 entre la laptop
(.200) y el router (.1) en el puerto 5
• Conectar wireless y asignar la dirección IP 10.1.1.X/24 a la
interface wlan1
• SSID: MTCTCE / WPA2-AES / mtctce*2016
• Obtener acceso a internet desde la laptop. Gateway =
10.1.1.254, DNS = 10.1.1.254, 8.8.8.8
• Crear un nuevo usuario “mtX” con password “mtX” para el
router y cambiar los derechos de acceso de “full” a “read”

@ MikroTik.com
 Renombrar interfaces
 Recomendaciones:
 Mantener la identificación física de las
interfaces
 Agregar el nombre lógico
 Ejemplo: wlan1 wlan1_WAN

© MikroTik 8
 Router - Identity
Configura el System-> Identity con tu número X

© MikroTik 9
 TroubleShooting
• Su router puede hacer ping al AP?
• Puede su router resolver nombres?
• Puede llegar a redes más allá de su router?
• Su Laptop puede resolver nombres?
• Colocó correctamente la regla de Masquerade?
• Verificar que la laptop tenga gateway y DNS
configurados correctamente.
© MikroTik 10
 IPs privadas y públicas

• El Masquerade es utilizado para acceso a redes públicas,

donde no son enrutables IP privadas.
• Según el RFC 1918 de la IETF las redes privadas son:
• 10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)
• 172.16.0.0 - 172.31.255.255 (172.16.0.0 /12)
• 192.168.0.0 - 192.168.255.255 (192.168.0.0 /16)
© MikroTik 11
Firewall

© MikroTik
 Estructura de Filtros de Firewall
• Las reglas de filtros de firewall están organizadas
en "chains"
• Existen "default chains" y "user-defined chains"
• 3 "default chains"
– Input: procesa los paquetes enviados al router
– Output: procesa los paquetes enviados por el router
– Forward: procesa los paquetes enviados a traves del
router
• Cada "user-defined chain" debe estar subordinada
a al menos una de las "chains" de default.
© MikroTik
Firewall Chains
Output
Input Ping from Router
Winbox

Forward
WWW E-Mail

©MikroTik 14
Diagrama de Estructura de Filtros de Firewall

© MikroTik
 Condition: Connection State
• Connection State es un estatus asignado a cada paquete
por el sistema de Connection Tracking

– New: el paquete está abriendo una nueva conexión

– Established: el paquete pertenece a una conexión ya conocida
– Invalid: el paquete no pertenece a ninguna de las conexiones
conocidas
– Related: el paquete está también abriendo una nueva conexión,
pero está en algún tipo de relación a una conexión ya conocida

• Connection state ≠ TCP state

© MikroTik
Condition: Connection State

© MikroTik 17
 Estado de la conexión
• Agregue una regla Input/Forward para descartar
paquetes inválidos (invalid)
• Agregue una regla Input/Forward para aceptar
conexiones establecidas (established)
• Agregue una regla Input/Forward para aceptar
conexiones relacionadas. (related)
De esta manera el Firewall sólo trabajara con
paquetes nuevos.
© MikroTik 18
 Estado de la conexión

• Consejo: hacer drop a conexiones inválidas

• El firewall solo procesará nuevos paquetes,
es recomendable excluir otro tipo de
estados.
• Las reglas de Filter tienen "connection state"
que revisan el propósito de la conexión.

© MikroTik 19
 Connection Tracking
 Conntrack System: es el corazón del firewall. Obtiene y
maneja la información de TODAS las conexiones activas
 Si se deshabilita el conntrack system se perderá la
funcionabilidad del NAT y también la mayoría de los filtros y
de las conexiones de mangle
 Cada entrada en la tabla conntrack representa un
intercambio bidireccional de datos
 Conntrack hace uso de gran cantidad de recursos de CPU.
Solo debe ser deshabilitado si no se usa el firewall

© MikroTik
Connection Tracking

© MikroTik
Firewall Chains

© MikroTik 22
 Input

• Esta cadena contiene las reglas del filter que

protegen al mismo router
Ahora, bloqueemos a todos excepto su laptop.

© MikroTik 23
 Input

Agregar una
regla de accept
para la IP de su
laptop

© MikroTik 24
 Input
Agregar un regla
drop de la cadena
input para
descarcartar a los
demás

© MikroTik 25
 Input Lab
• Cambie la dirección IP de su laptop a
192.168.X.15
• Trate de conectarse. El firewall está
funcionado!!!
• Aún se puede establecer conexión vía
direcciones MAC dado que el Firewall Filter
funciona sólo en capa 3

© MikroTik 26
 Input
• El acceso a su router es bloqueado
• No tiene internet
• Se están bloqueando las peticiones DNS también
• Cambia la configuración para retomar la
conexión a internet

© MikroTik 27
 Input
• Se puede
deshabilitar el
acceso vía MAC
en Tools/MAC
Server
• Cambiar la IP de
la laptop a la IP
anterior
192.168.X.200
© MikroTik 28
 Address-List

• Address-list permite filtrar un grupo de

direcciones con una sola regla
• También se pueden agregar direcciones de
forma automática y luego bloquearlas.

© MikroTik 29
 Address-List
• Puede haber múltiples access-list
• Se pueden agregar: Subredes, rangos
separados o un sólo host.

© MikroTik 30
 Address-List

• Agregar un host
específico al
address-list
• Indicar un
timeout para un
servicio temporal

© MikroTik 31
 Address-List in Firewall

• Se pueden hacer
bloqueos por
listas de acceso
tanto en origen
como en destino

© MikroTik 32
 Address-List Lab

• Crear address-list con direcciones IP permitidas

• Añadir una regla para aceptar estas direcciones
permitidas.

© MikroTik 33
 Address-List
add address=0.0.0.0/8 list=bogons

add address=10.0.0.0/8 list=bogons

add address=192.168.0.0/16 list=private
add address=127.0.0.0/8 list=bogons
add address=172.16.0.0/12 list=private
add address=169.254.0.0/16 list=bogons add address=10.0.0.0/8 list=private

add address=172.16.0.0/12 list=bogons

add address=192.0.2.0/24 list=bogons

add address=192.168.0.0/16 list=bogons

add address=198.18.0.0/15 list=bogons

add address=224.0.0.0/4 list=bogons

add address=224.0.0.0/8 list=bogons

add address=239.0.0.0/9 list=bogons

add address=255.255.255.255 list=bogons

© MikroTik 34
 Forward

• Esta cadena contiene reglas para controlar

paquetes que van a atravesar el router
• Se controla tráfico hacia y desde los clientes.

© MikroTik 35
 Forward
• Crear una regla
para bloquear el
puerto TCP 80
(Navegador Web)
• Es necesario
seleccionar el
protocolo al hacer
bloqueo por
puertos.
36
© MikroTik
 Forward

• Probar abriendo www.ninsys.com

• Probar abriendo http://192.168.X.1
• Se puede mostrar la página web del router ya
que el bloqueo es aplicado en la cadena de
forward

© MikroTik 37
Lista de puertos mas conocidos
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

© MikroTik 38
 Firewall Log
• Veamos los pings
que el cliente envía
al router
• Esta regla debe ser
agregada antes de
las demás acciones.

39
Firewall Log

©MikroTik 40
 NAT Helpers
Se puede especificar puertos para los NAT Helpers que
ya existen, pero no se puede añadir nuevos Helpers

© MikroTik
 FTP: NAT Helper
 Liberar puerto 21 en filter: cadena forward
 Agregar una regla de log antes del drop en
forward
 Ver que ocurre usando el log
 Agregar regla de forward: related
Server: 192.67.63.35

 Agregar log de forward: related

usuario: anonymous
pwd: " "

 Ver que ocurre usando el log

©MikroTik 42
 Firewall Actions
• Accept
• Drop
• Reject
• Tarpit
• log
• add-src-to-address-list
• add-dst-to-address-list
• Jump
• Return
• passthorugh
© MikroTik 43
 Firewall Tips

• Se recomienda agregar comentarios para

recordar el objeto de cada regla
• Utilizar tracking connection y torch

©MikroTik 44
 Herramienta: Torch

Detalla el reporte de tráfico actual de una interfaz

©MikroTik 45
 Escenario: Firewall con escaneo y
detección de ataques
 Crear listas de acceso:
 Bogons
 Direcciones permitidas localmente: "privadas"
 Detectar escaneo de puertos y "supuestos ataques"
 Agregarlos a listas negras: usar "tarpit" o "drop"
 Permitir: icmp code 8 / code 3
 Permitir input: 8291 y bloquear el resto
 Permitir forward: accesos a internet y bloquear
46
©MikroTik
Ejemplo: Firewall avanzado

47
©MikroTik
Ejemplo: Firewall avanzado

48
©MikroTik
 Ejemplo: Firewall avanzado

input

forward

©MikroTik 49
Firewall avanzado: input/forward
Analizar: firewall_lab.rsc
 Modificar: ":global wan XXXXX"
 Cargar usando comando import
 Realizar pruebas de ataque SSH, Telnet, FTP
Usar Nmap
https://nmap.org/download.html (25MB)
(Online) https://pentest-tools.com/network-
vulnerability-scanning/tcp-port-scanner-online-
nmap
 Revisar listas de acceso
©MikroTik 50
 Network Address Translation
(NAT)
Destination NAT, Source NAT, NAT Traversal

© MikroTik
 Tipos de NAT
• Puesto que hay solo 2 direcciones IP y 2 puertos en un
header de paquete IP, solo hay 2 tipos de NAT
– Uno, re-escribe la direccion IP origen y/o el puerto = source
NAT (src-nat)
– El otro, re-escribe la dirección IP destino y/o el puerto =
destination NAT (dst-nat)
• Las reglas de Firewall NAT solo procesan el primer
paquete de cada conexión (Paquetes de Connection
State = "new")

© MikroTik
 SRC-NAT
New
SRC-Address
SRC-Address

Laptop Servidor Remoto

©MikroTik 53
 DST-NAT

Servidor con IP Host con IP

privada pública

New DST-Address DST-Address

© MikroTik 54
 Estructura: Firewall NAT
• Dstnat – procesa el trafico que se envía a y a
través del router, antes de dividirlo en las cadenas
"input" y "forward" de los filtros de firewall
• Srcnat – procesa el trafico que se envía desde y a
través del router, despues de que se ha fusionado
de los chains "output" y "forward" de los filtros de
firewall

© MikroTik
 Estructura: Firewall NAT
• Las reglas de Firewall NAT están organizadas en
cadenas (chains)
• Existe 2 chains por default
– Dstnat: procesa el tráfico enviado hacia y a través del
router, antes de dividirlo en los chain "input" y "forward"
del firewall filter
– Srcnat: procesa el tráfico enviado desde y hacia el router,
después que ha sido fusionado de los chain "output" y
"forward" del firewall filter
• Existen tambien chains definidos por el usuario

© MikroTik
Diagrama de IP Firewall

© MikroTik
 Dst-nat
• La acción "dst-nat" cambia la dirección y puerto
destino del paquete a una dirección y puerto
especificado
• Esta acción solo puede hacerse en el chain dstnat
• Aplicación típica: asegurar el acceso a los servicios
de red local desde redes públicas

© MikroTik
 DST-NAT Example

Servidor WEB
Una PC
192.168.1.1

New DST-Address DST-Address

192.168.1.1:80 207.141.27.45:80

©MikroTik 59
Ejemplo de dst-nat

© MikroTik
 Redirect
• Cambia la dirección destino del paquete a la
dirección y puerto especificado del router
• Esta acción solo puede ejecutarse en el chain
"dstnat"
• Aplicación típica: hacer proxy transparente de
servicios de red (DNS, HTTP)

© MikroTik
 Ejemplo de Redirect
DST-Address
Configured_DNS_Server:53

New DST-Address
Router:53

DNS Cache

62
Ejemplo de Regla Redirect

© MikroTik
 Redirect - Laboratorio
• Capturar todos los paquetes TCP y UDP en el
puerto 53 originados en su red privada
192.168.X.0/24 y redireccionarla al 53 del router
• Limpiar los cache de los DNS de los routers y de los
browsers
• Intentar navegar a internet
• Revisar el DNS cache del router

© MikroTik
 Dst-nat Laboratorio
• Capturar todos los paquetes TCP en puerto 80
originados en la red privada 192.168.X.0/24 y
cambiar la dirección destino a 10.1.1.254 usando
la regla dst-nat
• Limpiar el cache del browser de las laptops
• Intentar navegar a internet

© MikroTik
 Universal Plug-and-Play
• MikroTik RouterOS permite habilitar el soporte UPnP
para el router
• UPnP permite establecer conectividad en ambas
direcciones incluso si el cliente esta detrás de un NAT.
El cliente debe tener también soporte para UPnP
• Existen 2 tipos de interfaces de tipo UPnP habilitados
en el router
– Internal: a la que están conectados los clientes locales
– External: a la que esta conectada Internet

© MikroTik
Universal Plug-and-Play

© MikroTik
 Inconvenientes del Source NAT
• Los hosts detrás de un router NAT-enabled no
tienen una verdadera conectividad end-to-end
– No se puede iniciar una conexión desde afuera
– Algunos servicios TCP trabajarán en modo pasivo
– El src-nat detrás de varias direcciones IP es
impredecible
– Algunos protocolos requerirán los llamados NAT
Helpers para poder trabajar correctamente (NAT
Traversal)

© MikroTik
 NAT Action "Netmap"
• Puede ser usado en ambos chains src-nat y dst-nat
• Permite crear un NATeo de un rango de direcciones a
otro rango de direcciones y/o de 1 IP a 1 IP (NAT 1:1)
con solo una regla
• Se puede enmascarar 192.168.0.3-192.168.0.103 (100
direcciones) a 88.188.32.3-88.188.32.103 con solo
una regla
• Es posible re direccionar 88.188.32.3-88.188.32.103
(100 direcciones ) a 192.168.0.3-192.168.0.103 con
una segunda regla
© MikroTik
 NAT Action "same"
• Puede ser usado en ambos chains src-nat y dst-nat
• Asegura que el cliente será NATeado a la misma
dirección del rango especificado cada vez que
intente comunicarse con un destino que fue usado
antes
• Si el cliente obtiene la IP 88.188.32.104 del rango
cuando se comunicó a un server específico, cada
vez que se comunique con ese Server usará la
misma dirección

© MikroTik
Tipos de Network Intrusion
Firewall filter

© MikroTik
 Tipos de Network Intrusion
• Network Intrusion es un riesgo de seguridad muy
serio que podría resultar no solo en una denegación
temporal sino también en un rechazo total del
servicio de red
• Podemos hablar de 4 tipos principales de Network
Intrusion
– Ping flood
– Port scan
– DoS attack
– DDoS attack

© MikroTik
 Ping Flood

• Ping flood usualmente

consiste de volúmenes de
mensajes ICMP aleatorios
• Con la condición "limit" es
posible limitar la regla
para que coincida con un
límite dado
• Esta condición se usa
frecuentemente con la
acción "log"
© MikroTik
 Tipos de mensaje ICMP
• El router típico usa solamente 5 tipos de mensajes
ICMP (type:code)

– Para PING: mensajes 0:0 y 8:0

– Para TRACEROUTE: mensajes 11:0 y 3:3
– Para Path MTU discovery: mensaje 3:4

• Otros tipos de mensajes ICMP deberían ser

bloqueados
© MikroTik
Ejemplo de regla de mensaje ICMP

© MikroTik
 Laboratorio ICMP Flood
• Cree un nuevo chain ICMP
– (Accept) Acepte los 5 mensajes ICMP necesarios
– (Set) Configure el Limit rate a 5pps con posibilidad de 5
packet burst
– (Drop) Descarte todos los otros paquetes ICMP

• Mueva todos los paquetes ICMP al chain ICMP

– Cree una regla de acción "jump" en el chain Input
– Ubíquela adecuadamente
– Cree una regla de acción "jump" en chain Forward
– Ubíquela adecuadamente

© MikroTik
Port Scan
• Port Scan es una
"indagación" secuencial
de puertos TCP (UDP)
• PSD (Port Scan Detection)
es posible solo para el
protocolo TCP
• Puertos bajos
– De 0 a 1023
• Puertos altos
– De 1024 a 65535
© MikroTik
 Laboratorio PSD
• Crear protección PSD
– Crear una regla PSD Drop en el chain Input
– Ubicarla adecuadamente
– Crear una regla PSD Drop en el chain Forward
– Ubicarla adecuadamente

© MikroTik
 Ataques DoS
• El principal objetivo de los ataques DoS es el consumo
de recursos, como el tiempo de CPU o el ancho de
banda, por lo que los servicios estándares obtendrán
un Denial of Services (DoS)
• Usualmente el router es inundado con paquetes
TCP/SYN (requerimiento de conexión). Ocasionando
que el server responda con un paquete TCP/SYN-ACK,
y esperando por un paquete TCP/ACK
• La mayoría de atacantes DoS son clientes infectados
de virus
© MikroTik
 Protección contra ataques DoS
• Todas las IPs con más de 10 conexiones al router
deberían ser consideradas como atacantes DoS
• Con cada conexión TCP descartada (dropped) se
permitirá al atacante crear una nueva conexión
• Deberíamos implementar la protección DoS en 2
pasos
– Detection: creando una lista de atacantes DoS en base a la
conexión límite
– Suppression: aplicando restricciones a los atacantes DoS
detectados

© MikroTik
Detección de ataques DoS

© MikroTik
 Supresión de ataques DoS
• Para detener al atacante
de crear nuevas
conexiones se usa la
opción "tarpit"
• Se debe ubicar esta regla
antes de la regla de
detección o sino la
entrada del address-list la
reescribirá todo el
tiempo

© MikroTik
 Ataques DDoS
• Un ataque Distributed
Denial of Service es muy
similar al ataque DoS, y
ocurre desde múltiples
sistemas comprometidos
• La única cosa que podría
ayudar es la opción
"TCPSyn Cookie" en el
Conntrack System
• IP Settings

© MikroTik
 Laboratorio DoS
• Crear protección DoS
– Crear reglas para limitar conexiones en Input
– Ubicarla adecuadamente
– Crear reglas para limitar conexiones en Forward
– Ubicarlas adecuadamente

© MikroTik
 Firewall Mangle

Marcado de paquetes IP
Ajuste de campos de cabecera IP (header)

© MikroTik
 Que es Mangle?
• Permite marcar los paquetes IP con marcas
especiales
• Estas marcas son usadas por otros recursos como
ruteo y administración de ancho de banda para
identificar los paquetes
• Adicionalmente el Mangle se usa para modificar
algunos campos en la cabecera IP, como los
campos ToS (DSCP) y TTL

© MikroTik
 Estructura del Mangle
• Las reglas del mangle están organizadas en cadenas
• Existen 5 cadenas predeterminadas
– Prerouting: hace una marca antes del “route decision”
– Postrouting: hace una marca luego del “route decision”
– Input: hace una marca antes del filtro Input
– Output: hace una marca antes del filtro Output
– Forward: hace una marca antes del filtro Forward
• Se pueden añadir nuevos chains definidos por el
usuario, tantos como sean necesarios
© MikroTik
Diagrama de Mangle y Queue RoS V5

© MikroTik
Diagrama de Mangle y Queue RoS V6

© MikroTik
 Acciones del Mangle
• Mark-connection: marca la conexión (solo el primer
paquete)
• Mark-packet: marca un flujo (todos los paquetes)
• Mark-routing: marca los paquetes para políticas de
ruteo
• Change MSS: cambia el máximo tamaño del
segmento del paquete
• Change TOS: cambia el tipo de servicio
• Change TTL: cambia el time-to-live
• Strip IPv4 options

© MikroTik
 Mangle Action "change-ttl"
• TTL es un límite de dispositivos de Capa 3 (L3) que el
paquete IP puede experimentar antes de que sea
descartado
• El valor por default del TTL es 64 y cada router reduce
el valor en uno justo antes de la hacer el forwarding
• El router no pasará el tráfico al siguiente dispositivo si
recibe un paquete IP con TTL=1
• Aplicación útil: eliminar la posibilidad a los clientes de
crear redes enmascaradas
© MikroTik
Cambiando el TTL

© MikroTik
 Marcando Conexiones
• Se usa mark-connection para identificar uno o un
grupo de conexiones
• Las marcas de conexiones son almacenadas en la
tabla connection tracking
• Solo puede haber una marca de conexión para
una conexión
• Connection Tracking ayuda a asociar cada paquete
a una conexión específica (connection mark)

© MikroTik
Regla de Marcado de Conexión

© MikroTik
 Parámetro passthrough
• En marca de paquetes no tiene sentido marcarlo.
• Al desmarcarlo, el paquete no pasará por las
próximas reglas de mangle, de esta forma se evita
consumo de CPU innecesario volviendo a
chequear el paquete.

© MikroTik
Regla del Marcado de Paquetes

© MikroTik
 Mangle Packet Mark - Laboratorio
• Marcar todas las conexiones de 192.168.X.1 (VIP1_conn)
• Marcar todos los paquetes de las conexiones VIP1_conn

• Marcar todas las conexiones de 192.168.X.200 (VIP2_conn)

• Marcar todos los paquetes de las conexiones VIP2_conn

• Marcar todas las otras conexiones (other_conn)

• Marcar todos los paquetes de las otras conexiones
other_conn

© MikroTik
Vista del Mangle

© MikroTik
 Quality of Service

HTB
(Hierarchical Token Bucket)

© MikroTik
 HTB
• Toda la implementación de Calidad de Servicio (QoS)
en RouterOS está basado en HTB
• HTB permite crear una estructura de queues (colas)
jerárquica y determinar relaciones entre colas padres
e hijos y la relación entre las colas hijos
• RouterOS v5 soportaba 3 HTBs virtuales (global-in,
global-total, global-out) y una más justo antes de
cada interface, ahora en RouterOS v6 hablamos sólo
de Global
© MikroTik
 HTB - Estructura
• Tan pronto como un queue tiene por lo menos un
hijo, se vuelve un queue padre
• Todo los queues hijos (no importa cuantos niveles de
padres ellos tengan) están en el mismo nivel bajo de
HTB
• Los Queues hijos son las que efectúan el consumo de
tráfico, los queues padre son responsables
únicamente de la distribución del tráfico
• Los Queues hijos obtendrán primero el limit-at y
luego el resto del tráfico será distribuido por los
padres

© MikroTik
HTB - Estructura

© MikroTik
 HTB – Dual Limitation
• HTB tiene 2 límites de tasa
– CIR (Committed Information Rate) – (limit-at en
RouterOS): en el peor escenario el flujo de datos tendrá
esta cantidad de tráfico sin importar que (asumiendo que
se pudiera enviar tal cantidad de datos)
– MIR (Maximal Information Rate) – (max-limit en
RouterOS): en el mejor escenario, es la tasa que el flujo
puede obtener, si es que el padre de la cola (queue) tiene
ancho de banda de reserva
• En primera instancia el HTB tratará de satisfacer cada
limit-at de las colas hijos, solamente entonces tratará
de alcanzar el max-limit

© MikroTik
 Dual Limitation
• La tasa máxima (maximal rate) del padre debe ser
igual o mayor que la suma de los CIR de los hijos
– CIR (parent) >= CIR (child1)+…+CIR(child N)
• En caso de que el padre sea el padre principal CIR (parent)=MIR (parent)
• La tasa máxima de cualquier hijo debería ser
menor o igual al maximal rate del padre
– MIR (parent) >= MIR (child 1)
– MIR (parent) >= MIR (child 2)
– MIR (parent) >= MIR (child N)

© MikroTik
 Colores en Winbox
• 0% - 50% tráfico disponible usado– green
• 51% - 75% tráfico disponible usado - yellow
• 76% - 100% tráfico disponible usado - red

© MikroTik
HTB limit-at

© MikroTik
 HTB – limit-at
• Queue01 limit-at=0Mbps max-limit=10Mbps
• Queue02 limit-at=4Mbps max-limit=10Mbps
• Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
• Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
• Queue05 limit-at=2Mbps max-limit=10Mbps priority=5

Resultado

• Queue03 recibirá 6Mbps

• Queue04 recibirá 2Mbps
• Queue05 recibirá 2Mbps

HTB fue construido de tal manera que cuando logra satisfacer

todo los “limit-ats”, el queue principal ya no tendrá ancho de
banda disponible para distribuir.

© MikroTik
HTB – max-limit

© MikroTik
 HTB – max-limit
• Queue01 limit-at=0Mbps max-limit=10Mbps
• Queue02 limit-at=4Mbps max-limit=10Mbps
• Queue03 limit-at=2Mbps max-limit=10Mbps priority=3
• Queue04 limit-at=2Mbps max-limit=10Mbps priority=1
• Queue05 limit-at=2Mbps max-limit=10Mbps priority=5

Resultado

• Queue03 recibirá 2Mbps

• Queue04 recibirá 6Mbps
• Queue05 recibirá 2Mbps

Luego de satisfacer todo los “limit-ats” el HTB entregará ancho de

banda primeramente al que tenga la mayor prioridad.

© MikroTik
 Características HTB - Priority
• Trabaja solo en los queues hijos
• 8 = prioridad más baja
• 1 = prioridad más alta
• El queue con la prioridad más alta tendrá la
oportunidad de satisfacer su max-limit antes que
las otros queues.
• La priorización del tráfico actual trabajará
únicamente si los límites son especificados. Los
queues sin límites no priorizan NADA
© MikroTik
HTB - limit-at del Padre

© MikroTik
 HTB – limit-at del Padre
• Queue01 limit-at=0Mbps max-limit=10Mbps
• Queue02 limit-at=8Mbps max-limit=10Mbps
• Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
• Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
• Queue05 limit-at=2Mbps max-limit=10Mbps priority=5

Resultado

• Queue03 recibirá 2Mbps

• Queue04 recibirá 6Mbps
• Queue05 recibirá 2Mbps

Luego de satisfacer todo los “limit-at” de los queues, HTB

entregará adicional según las prioridades. Pero en este escenario,
Queue02 tiene un “limit-at” específico de 8M para sus queues
hijos. Queue04 tiene la mas alta prioridad entre los hijos de
Queue02 y es por esto que obtiene ancho de banda adicional.

© MikroTik
HTB – limit-at > max-limit del Padre

© MikroTik
 HTB – limit-at > max-limit del Padre
• Queue01 limit-at=0Mbps max-limit=10Mbps
• Queue02 limit-at=4Mbps max-limit=10Mbps
• Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
• Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
• Queue05 limit-at=12Mbps max-limit=15Mbps priority=5

Resultado

• Queue03 recibirá ~3Mbps

• Queue04 recibirá ~1Mbps
• Queue05 recibirá ~6Mbps

Solo para satisfacer los “limit-ats” el HTB fue forzado a alojar

20Mbps; 6Mbps a Queue03, 2Mbps a Queue04, 12Mbps a Queue05,
pero la interface de salida solo tiene capacidad de 10Mbps. La
interface muy probable está utilizando FIFO, lo cual mantendrá la
distribución de ancho de banda en un ratio 6:2:12 or 3:1:6
© MikroTik
 Queue Tree

Estructura Avanzada de Queues (colas)

© MikroTik
 Queue Tree
• Es una implementación directa de HTB
• Cada queue en "queue tree" puede ser asignada únicamente en
un HTB
• Cada “queue hijo" DEBE tener un "packet mark" asignado a él

© MikroTik
 HTB Lab
• Crear un Queue Tree del laboratorio anterior
• Extender la configuración del Mangle y del Queue Tree para
priorizar el tráfico ICMP y HTTP sobre todo el resto de tráfico
SOLAMENTE para clientes válidos
– Reemplace el "packet-mark" de los clientes VIP con 3 marcas específicas
de tipo de tráfico (HTTP, ICMP y otros)
– Cree 3 queues hijo para los queues de clientes VIP en queue tree
– Asigne marcas de paquetes a los queues
• Cree el mismo Queue Tree pero para Upload
• Consuma todo el tráfico disponible usando el bandwidth-test (a
través del router) y verifique los tiempos de respuesta del PING
• Cambie la configuración del ICMP a la más alta
• Verifique los tiempos de respuesta del PING

© MikroTik
HTB Lab (cont)

© MikroTik
HTB Lab (cont)

© MikroTik
HTB EJ Proveedor de Servicio (Carga)

© MikroTik
HTB EJ Proveedor de Servicio (Descarga)

© MikroTik
Tipos de Queue

© MikroTik
 Tipos de Queue
• RouterOS tiene 4 tipos de colas:
– FIFO: First In First Out (para Bytes o para Paquetes)
– RED: Random Early Detect (o Drop)
– SFQ: Stochastic Fairness Queuing
– PCQ: Per Connection Queuing (Propietario de MikroTik)
• Cada Queue Type tiene 2 aspectos
– Aspecto de Scheduler
– Aspecto de Shaper

© MikroTik
100% Shaper

© MikroTik
100% Scheduler

© MikroTik
Default Queue Types

© MikroTik
 FIFO (comportamiento)
Lo que llega primero se maneja primero, lo que llega después
espera hasta que el primer paquete es finalizado. El número
de unidades de espera (Paquetes o Bytes) es limitado por la
opción "queue size". Si el queue está lleno las siguientes
unidades son descartadas

© MikroTik
© MikroTik
© MikroTik
 RED (comportamiento)
• Similar a FIFO con la carácterística de
que existe la probabilidad de un drop
adicional incluso si el queue no está
lleno

• Esta probabilidad se basa en la

comparación del promedio de la
longitud del queue sobre algún
período de tiempo para un threshold
mínimo o máximo. Mientras más
cercano esté al máximo Threshold es
más grande la probabilidad de que se
haga un drop

© MikroTik
© MikroTik
 SFQ (comportamiento)
• Basado en el valor hash de las direcciones origen y
destino, el SFQ divide el tráfico en 1024 sub-streams
• Entonces el algoritmo Round Robin distribuirá igual
cantidad de tráfico a cada sub-stream

© MikroTik
© MikroTik
 Ejemplo SFQ
• SFQ debería ser usado para balancear conexiones
similares
• SFQ se debe usar para administrar el flujo de
información hacia o desde los servers, por lo tanto
puede ofrecer servicios a cada cliente
• Ideal para la limitación de tráfico P2P. Es posible
ubicar límites estrictos sin hacer "drop" a las
conexiones

© MikroTik
 PCQ (comportamiento)
• El tráfico se divide en sub-streams. Cada sub-stream puede
ser considerado como una cola FIFO con un tamaño de
queue especificado por la opción "limit"
• Después este PCQ puede ser considerado como un FIFO
queue donde el queue size es especificado por la opción
"total-limit"

© MikroTik
© MikroTik
© MikroTik
 Laboratorio Queue Type
• Pruebe todos los queue type en el queue "Other-
download" en su queue tree. Use el band-width
test para verificar
• Ajuste su estructura QoS con el apropiado queue
type
– Cree una marca de paquete para todo el tráfico P2P y
cree un solo queue SFQ para el mismo.
– Cambie el queue type de HTB a PCQ

© MikroTik
Característica "Burst" del QoS

© MikroTik
 Característica "Burst" del QoS
• Burst es una de las mejores formas de incrementar
el desempeño HTTP
• Los Bursts son usados para permitir altas tasas de
datos por un período corto de tiempo
• Si una tasa de datos promedio es menor que el
burst-threshold, el burst puede ser usado (la tasa
de datos actual puede alcanzar el burst-limit)
• La tasa de datos promedio se calcula del últimos
segundos de burst-time
© MikroTik
 Burst – Tasa de datos promedio
• La tasa de datos promedio (average data rate) se calcula
de la siguiente forma:
– Burst-time se divide en 16 períodos
– El router calcula average data rate de cada clase sobre esos
pequeños períodos
• Note que el actual burst period no es igual al burst-time.
Puede ser varias veces más corto que el burst-time
dependiendo del histórico de los parámetros max limit,
burst-limit, burst-threshold, y actual data rate (ver el
gráfico ejemplo en el siguiente slide)
• longest-burst-time = burst-threshold * burst-time / burst-limit
© MikroTik
Burst

© MikroTik
Burst (Parte 2)

© MikroTik
 DNS

Domain Name System

© MikroTik
 DNS client y cache
• El Cliente DNS es usado por el Router solo en caso de
configuración web-proxy o hotspot. También ping y
traceroute.
• Se debe habilitar la opción "Allow Remote Requests" para
transformar el cliente DNS en DNS Cache.
• DNS cache permite usar el router en lugar de un Server DNS,
minimizando el tiempo de resolución
• El DNS cache tambien puede actuar como un DNS Server
para la resolución de direcciones de redes locales.
• Cuando existen requerimientos remotos, el RouterOS
responde a los requerimientos TCP y UDP en el puerto 53.
© MikroTik
 DNS Cache - Configuración
• allow-remote-requests: especifica si se debe permitir el
requerimiento de las redes
• cache-max-ttl: máximo time-to-live de los registros
guardados en cache. Los registros expirarán
incondicionalmente luego que se cumpla el timepo cache-
max-ttl
• cache-size: (512 a 10240) especifica el tamaño del cache
DNS en KiB
• cache-used: muestra el tamaño usado en KiB
• primary-dns: Server DNS primario
• secondary-dns: server DNS secundario

© MikroTik
DNS Cache - Configuración

© MikroTik
 Nota
• Si se usa use-peer-dns=yes, entonces el DNS Primario
cambiará a la dirección DNS dada por el DHCP Server

© MikroTik
 Ejemplo DNS
• Para configurar 208.67.222.123 como DNS Server
Primario, y permitir al Router ser usado como DNS
Server:

/ip dns set servers=208.67.222.123

allow-remote-requests=yes

© MikroTik
 Monitoreo del Cache (ip dns cache)
• Lista de todas los registros de direcciones (DNS
tipo A) almacenadas en el server
• address: Dirección IP del host
• name: nombre DNS del host
• ttl: tiempo de vida del registro

© MikroTik
 Monitoreo del Cache (ip dns cache)
ip dns cache pr
Flags: S - static
# NAME ADDRESS TTL
0 a.l.google.com 74.125.53.9 20h36m25s
1 b.l.google.com 74.125.45.9 20h36m3s
2 d.l.google.com 74.125.77.9 20h37m59s
3 e.l.google.com 209.85.137.9 20h18m18s
4 f.l.google.com 72.14.203.9 20h36m25s
5 g.l.google.com 74.125.95.9 20h37m44s
6 ns2.acresso.com 64.14.29.53 1d19h48m24s
7 glb01.ams1.tfbn... 69.63.191.219 1h5m57s
8 glb01.ash1.tfbn... 69.63.185.11 47m41s
9 glb01.lhr1.tfbn... 69.63.191.91 49m58s
10 glb01.sf2p.tfbn... 69.63.176.101 47m41s
11 glb01.snc1.tfbn... 69.63.179.22 1m53s

© MikroTik
Monitoreo del Cache (ip dns cache)

© MikroTik
Monitoreo del Cache (ip dns cache all)
• Lista completa de todos los registros DNS
almacenados en el server
• data: Campo de dato DNS
• address: Dirección IP del host
• name: nombre DNS del host
• ttl: tiempo de vida del registro

© MikroTik
Monitoreo del Cache (ip dns cache all)
ip dns cache all pr
Flags: S - static, N - negative
# NAME TYPE DATA TTL
0 l.google.com NS b.l.google.com 19h52m9s
1 l.google.com NS d.l.google.com 19h52m9s
2 l.google.com NS g.l.google.com 19h52m9s
3 l.google.com NS a.l.google.com 19h52m9s
4 l.google.com NS e.l.google.com 19h52m9s
5 l.google.com NS f.l.google.com 19h52m9s
6 a.l.google.com A 74.125.53.9 20h35m18s
7 b.l.google.com A 74.125.45.9 20h34m56s
8 d.l.google.com A 74.125.77.9 20h36m52s
9 e.l.google.com A 209.85.137.9 20h17m11s
10 f.l.google.com A 72.14.203.9 20h35m18s
11 g.l.google.com A 74.125.95.9 20h36m37s
12 installshiel... NS ns1.acresso.com 1d23h34m32s

© MikroTik
 DNS Estático
• Mikrotik RouterOS tiene un DNS Server integrado
en DNS Cache.
• Permite enlazar los nombres de dominio con IPs
para así responder solicitudes de DNS.
• Se puede usar tambien para proveer información
"falsa" a los clientes. Ej: cuando se resuelva
cualquier requerimiento DNS (o a todo el internet)
se redireccione a su propia página

© MikroTik
 DNS Estático
• El Server es capaz de resolver requerimientos DNS
basados en expresiones regulares POSIX. Por lo tanto
múltiples requerimientos pueden coincidir con la
misma entrada.
• En caso de que una entrada no esté acorde con los
estándares DNS, es considerada una expresión
regular y se la marca con "R"
• La lista es ordena y verificada de arriba hacia abajo
• Las expresiones regulares se verifican primero y luego
los registros planos.
© MikroTik
DNS Estático

© MikroTik
 Bloquear Chat Gmail
• DNS Estatico --> 127.0.0.1
– chatenabled.mail.google.com
– talkgadget.google.com
– talk.google.com
– talkx.l.google.com

© MikroTik
 Modificar TTL del registro DNS
• Útil para hacer bloqueos/desbloqueos
rápidamente

© MikroTik
Modificar TTL del registro DNS

© MikroTik
 Borrando el DNS Cache
MikroTik
/ip dns cache flush

flush: limpia el DNS cache

Desde el CMD en PC
Ipconfig /flushdns

Borrar también el Cache del navegador WEB

© MikroTik
 Laboratorio DNS Cache
• Configure el router como DNS Cache. Use 10.1.1.254 como Server
Primario

• Añada la entrada DNS estática www.X.com a la dirección IP local de su

router (XY es su número)

• Añada la entrada DNS estática www.Y.com a la dirección IP pública del

router de su vecino (Y es el número asignado a su vecino)

• Cambie las direcciones de los Server DNS de su laptop a las

direcciones de sus routers

• Pruebe la configuración y monitoree la lista cache.

© MikroTik
 DHCP

Dynamic Host Configuration Protocol

© MikroTik
 DHCP
• DHCP se usa para la distribución dinámica de
configuraciones de red tales como:
– IP address y netmask
– Default Gateway
– Direcciones de servidores DNS y NTP
– Más de 100 otras opciones (soportadas únicamente
por clientes DHCP específicos)
• DHCP es inseguro y debería ser usado únicamente
en redes confiables

© MikroTik
 DHCP
• DHCP Server siempre escucha en UDP 67
• DHCP Cliente escucha en UDP 68
• La negociación inicial involucra la comunicación
entre direcciones broadcast.
• En algunas fases el "sender" usa dirección origen
0.0.0.0 y/o direcciones destino 255.255.255.255
• Se debe tener cuidado de esto cuando se
construye un firewall
© MikroTik
 Escenario de comunicación DHCP
• DHCP Discovery
– src-mac=<client>, dst-mac=<broadcast>, protocol=udp, src-
ip=0.0.0.0:68, dst-ip=255.255.255.255:67
• DHCP Offer
– src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp, src-
ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
• DHCP Request
– src-mac=<client>, dst-mac=<broadcast>, protocol=udp, src-
ip=0.0.0.0:68, dst-ip=255.255.255.255:67
• DHCP Acknowledgment
– src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp, src-
ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
© MikroTik
Secuencia de solicitud al DHCP

© MikroTik
 Identificación de cliente DHCP
• DHCP Server puede rastrear la asociación con un
cliente particular basado en su identificación
• La identificación puede ser ejecutada en 2 formas
– Basado en la opción "caller-id" (RFC2132)
– Basado en la MAC address, si la opción "caller-id" no
está disponible
• La opción "hostname" permite a los clientes
RouterOS enviar identificación adicional al server

© MikroTik
 RouterOS - DHCP Client
• Solo puede haber un cliente DHCP activo por interface
• El cliente aceptará
– 1 dirección
– 1 netmask
– 1 default gateway
– 2 direcciones DNS server
– 2 direcciones NTP server
• La IP recibida con el netmask será añadido a la interfaz
correspondiente
• El default gateway será añadido a la tabla de ruteo como una
entrada dinámica
• Si ya existe una ruta por default instalada antes de que el cliente
DHCP obtenga una, la ruta obtenida por el cliente DHCP se
mostrará como inválida © MikroTik
DHCP Client

© MikroTik
 DHCP Server
• Solo puede haber un DHCP Server por combinación
interface/relay
• Para crear un DHCP Server se debe tener
– Dirección IP en la interface DHCP Server deseada
– Pool de direcciones (address pool) para los clientes
– Información sobre la red DHCP
• Los 3 requerimientos deben corresponder
• "Lease on Disk" debería ser usado para reducir el
número de escrituras en el drive (útil con flash drives).
en v5.

© MikroTik
DHCP Server

© MikroTik
 DHCP Networks
• En el menú DHCP Networks se puede configurar
opciones específicas DHCP para una red particular
• Algunas de las opciones están integradas en el
RouterOS, otras pueden ser asignadas en forma
"cruda"
• Información adicional:
http://www.iana.org/assignments/bootp-dhcp-parameters/
• DHCP Server está habilitado para enviar cualquier
opción
• DHCP Client puede recibir únicamente las opciones
implementadas
© MikroTik
DHCP Networks

© MikroTik
 DHCP Options
• Opciones DHCP implementadas
– Subnet-mask (opction 1) – netmask
– Router (option 3) – gateway
– Domain-Server (option 6) – dns-server
– Domain-Name (option 15) – domain
– NTP-Servers (option 42) – ntp-server
– NETBIOS-Name-Server (option 44) – wins-server

• Opciones DHCP configurables (Ejemplo)

– Classless Static Route (option 121) –
"0x100A270A260101"="network=10.39.0.0/16
gateway=10.38.2.2"

© MikroTik
DHCP Options

© MikroTik
 IP Address Pool
• Los IP Address Pool son usados para definir el
rango de direcciones IP para distribución dinámica
(DHCP, PPP, HotSpot)
• Los Address Pool deben excluir las direcciones ya
ocupadas (direcciones estáticas o de servers)
• Es posible asignar más de un rango a un Pool
• Es posible encadenar varios Pools usando la
opción "Next Pool"

© MikroTik
IP Address Pools

© MikroTik
 Address Pool en acción
1 2 3 4 5 6 7 8 9 10 11 12 13 14

1 2 3 4 5 6 7 8 9 10 11 12 13 14

1 2 3 4 5 6 7 8 9 10 11 12 13 14
. . .
1 2 3 4 5 6 7 8 9 10 11 12 13 14

1 2 3 4 5 6 7 8 9 10 11 12 13 14
. . .
1 2 3 4 5 6 7 8 9 10 11 12 13 14

1 2 3 4 5 6 7 8 9 10 11 12 13 14

próxima dirección dirección en uso

dirección no usada dirección reservada pero sin usar

© MikroTik
 Otras configuraciones DHCP Server
• Src.address: Es la dirección a la cual el DHCP Client debe enviar los
requerimientos para renovar un IP address lease. Si solo hay una dirección
estática en la interface DHCP Server y el source-address es dejado como
0.0.0.0, entonces la dirección estática será usada. Si existen múltiples
direcciones en la interface, se debe usar una dirección en la misma subnet
del rango de direcciones a asignar
• Delay threshold: Prioriza un DHCP Server sobre otro. A mayor delay
menor prioridad
• Add ARP For Leases: Permite añadir entradas ARP para "leases" si la
interface ARP=reply-only
• Always Broadcast: Permite la comunicación con clientes non-standard
como por ejemplo pseudo-bridges
• Bootp Support: Soporte para clientes BOOTP
• Use Radius: Especifica si se usa RADIUS Server para asignación de leases
dinámicos

© MikroTik
 Authoritative DHCP Server
• Authoritative: Permite al DHCP Server responder a
los broadcasts de cliente no conocidos y pide al
cliente renovar el lease.
• El cliente envía un broadcast solo si el unicast al
server falla cuando se renueva el lease
• Authoritative permite
– Prevenir las operaciones de Rogue DHCP Servers
– Una adaptación más rápida de la red a cambios de
configuración DHCP

© MikroTik
DHCP Server Autoritativo

© MikroTik
DHCP "rouge" / spoofing

© MikroTik
 DHCP Relay
• DHCP Relay es un proxy que permite recibir un DHCP
Discovery y un DHCP Request y reenviarlos al DHCP
Server
• Solo puede haber un DHCP Relay entre el DHCP Server
y el Cliente DHCP
• La comunicación DHCP con Relay no requiere de
dirección IP en el Relay, sin embargo la opción "local
address" del Relay debe ser la misma que la
configurada en la opción "relay address" del Server.
© MikroTik
DHCP Relay

© MikroTik
 Laboratorio DHCP
• Interconectarse con sus vecinos usando cable
Ethernet
• Crear 3 configuraciones independientes
– Crear DHCP Server para su laptop
– Crear DHCP Server y relay para su laptop vecina (usar la
opción relay)
– Crear una red "bridged" con 2 DHCP Servers y 2 DHCP
Clients (laptops) y probar las opciones "authoritative" y
"delay threshold"
© MikroTik
DHCP Relay - Lab1

© MikroTik
 DHCP Relay - Lab1
DHCP Server

Añadir las direcciones a las interfaces que correspondan según aparece en el diagrama

/ip pool add name=Pool1 ranges=192.168.1.11-192.168.1.100

/ip pool add name=Pool2 ranges=192.168.2.11-192.168.2.100

/ip dhcp-server add interface=To-DHCP-Relay relay=192.168.1.1 address-pool=Pool1 name=DHCP-1 disabled=no

/ip dhcp-server add interface=To-DHCP-Relay relay=192.168.2.1 address-pool=Pool2 name=DHCP-2 disabled=no

/ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 dns-server=159.148.60.20

/ip dhcp-server network add address=192.168.2.0/24 gateway=192.168.2.1 dns-server 159.148.60.20

DHCP-Relay

Añadir las direcciones a las interfaces que correspondan según aparece en el diagrama

/ip dhcp-relay add name=Relay1 interface=Local1 dhcp-server=192.168.0.1 local-address=192.168.1.1 disabled=no

/ip dhcp-relay add name=Relay2 interface=Local2 dhcp-server=192.168.0.1 local-address=192.168.2.1 disabled=no

© MikroTik
Web Proxy

© MikroTik
 Web proxy
• Web-proxy tiene 3 carácterísticas principales
– Caching de tráfico HTTP y FTP
– Filtro de nombres DNS
– Redireccionamiento de DNS

• Web-proxy tiene dos modos de operación

– Regular: el browser debe ser configurado para usar este
proxy
– Transparent: este proxy no es visible a los clientes y se
deben aplicar reglas de NAT

@ MikroTik.com
Web-proxy Caching

• No caching
• Max-cache-size = none
• Cache to RAM
• Max-cache-size ≠ none
• Cache-on-disk = no
• Cache to HDD
• Max-cache-size ≠ none
• Cache-on-disk = yes
• Cache drive

@ MikroTik.com
Opciones Web-Proxy
• Maximal-client-
connections - number of
connections accepted from
clients
• Maximal-server-
connections - number of
connections made by server

@ MikroTik.com
Versión RouterOS 6 mas nueva

© MikroTik
 Opciones Web-proxy
• Serialize-connections: usa solo una conexión para la
comunicación proxy y server (si el server soporta
conexión HTTP persistente)
• Always-from-cache: ignora las peticiones “refresh” del
cliente si el contenido es “fresco”
• Max-fresh-time: especifica cuánto tiempo los objetos
sin un tiempo de expiración explícita serán
considerados “frescos”
• Cache-hit-DSCP: especifica el valor DSCP para todos los
paquetes generados desde el web-proxy cache
@ MikroTik.com
Estadísticas Web-proxy

@ MikroTik.com
 Proxy Rule Lists
• Web-proxy soporta 3 conjuntos de reglas para
peticiones de filtrado HTTP
– Access List: dicta la política de si permitir o no
requerimientos HTTP específicos
– Direct Access List: trabaja solo si se especifica el
parent-proxy . Dicta la política de si hacer “bypass” el
parent proxy por un requerimiento específico HTTP, o
no.
– Cache List: dicta la política de si permitir o no que un
requerimiento HTTP específico sea “cached”

@ MikroTik.com
Proxy Rules
• Es posible interceptar
requerimientos HTTP
basados en
– Información TCP/IP
– URL
– Método HTTP
• Access List también
permite redireccionar
peticiones denegadas a
una página específica

@ MikroTik.com
 URL Filtering
http://www.mikrotik.com/docs/ros/2.9/graphics:packet_flow31.jpg

Destination host Destination path

• Caracteres especiales
– “*” cualquier número de caracteres
– “?” cualquier carácter
• www.mi?roti?.com
• www.mikrotik*
• *mikrotik*

@ MikroTik.com
 Expresiones Regulares
• Ubique “:” al comienzo para habilitar un modo de
expresión regular
– “^” mostrar que ningún símbolo es permitido antes del
patrón dado
– “$” mostrar que ningún símbolo es permitido después del
patrón dado
– “[….]” una clase de caracter concuerda con un simple
caracter de todas las posibiliades ofrecidas por la clase de
caracteres
– \ (backslash) seguido de cualquier [\^$.|?*+() suprime su
significado especial

@ MikroTik.com
 Laboratorio Web-Proxy
• Habiltar el transparent web-proxy en su router
haciendo caching a la memoria
• Crear reglas en el access list para verificar su
funcionalidad
• Crear reglas en el direct access list para verificar
su funcionalidad
• Crear reglas en el cache list para verificar su
funcionalidad

@ MikroTik.com
Fin del Curso
MTCTCE
Antes del exámen de certificación

• Resetear el router con el backup “NO default”

• Revisar conexión a internet a
http://training.mikrotik.com
• Iniciar sesión con su cuenta
• Revisar que su nombre salga corréctamente

202
EXITO EN EL EXAMEN !

www.ninsys.com