Mikrotik desde Cero

Sesión 2
Por: Howard Smith VP
Lima, Perú. Abril 2018.
7)Servidor
DHCP
y Cliente
 7.Servidor DHCP y Cliente
7.2 DHCP Server
1)

3)
2)

5)
4)

5)
6)
7.Servidor DHCP y Cliente
7.3 Reservación de IP

Tomar en Cuenta:
Cuando la pc con la mac 00:27:19:FE:5F:5E se conecte a la red el DHCP Server
automáticamente le asignará la ip 192.168.4.99 .
7.Servidor DHCP y Cliente
7.1 DHCP Cliente

Tomar en Cuenta:
Cuando la pc con la mac 00:27:19:FE:5F:5E se conecte a la red el DHCP Server
automáticamente le asignará la ip 192.168.4.99 .
 NAT
(Network Address Translation)
El NAT o Traducción de Direcciones de Red es un mecanismo
que permite que múltiples dispositivos compartan una sola
dirección IP pública de Internet, ahorrando así millones de
direcciones públicas.

- AISLA LA RED
- TODO TRÁFICO DE LA RED SALE CON UNA IP PUBLICA
 Ejemplo:
WAN
Lan

192.168.1.10 190.88.150.7
 8) Tipos de
Chain o Cadenas
Src.Nat dst.Nat
Tomar en Cuenta:

Existen dos tipos de cadenas, Src nat (en la cual el nat cambia el origen ) y
el dst nat ( cambia el destino ).
8.Tipos de Chain o Cadenas
8.1 Entendiendo Src Nat
Source NAT
Src.Nat

Lan (IP LAN ) WAN (IP PUBLICA )

192.168.4.11 190.88.150.7

Tomar en Cuenta:
Vemos que el origen es la 192.168.4.11 ,luego. al pasar por el router cambia
el origen por La nueva ip Publica 190.88.150.7. Eso quiere decir que la ip
que se enruta a internet, no es la ip lan . Es la IP PÚBLICA
.
8.Tipos de Chain o Cadenas
8.3 Ejemplo con Src.Nat (Nat uno a uno)
8.Tipos de Chain o Cadenas
8.1 Entendiendo Dst.Nat

Destino NAT
dst.Nat
WAN (IP PUBLICA ) Lan (IP LAN )

190.88.150.7:8052
192.168.4.11:8052

Dst – Nat Cambia el destino

Tomar ena Cuenta:

Cuando consulten la ip pública y al puerto 190.88.150.7:8052
envíalo a la ip lan 192.168.4.11 :8052
8.Tipos de Chain o Cadenas
8.2 Ejemplo con Dst.Nat (Abrir puertos)

Tomar en Cuenta:
Cuando desde internet consulte a la ip pública con el puerto 8000 el mikrotik
cambiará el destino y enviará a la ip 192.168.4.11
Tipos de
Nat
9.Tipos de nat
9.1 Nat Estático (uno a uno)

Tomar en Cuenta:
La ip lan 192.168.4.2 es la fuente y será cambiada
por la ip Pública fuente 190.10.110.8,Esto quiere decir.
que dicha ip saldrá a internet con una ip pública especifica .
9.Tipos de nat
9.2 Nat –Pat con Sobre carga

Tomar en Cuenta:
Cualquier tráfico que sale a internet (ether1)
saldrá enmascarada o cambiada por la ip wan (la ip que está en la ether1) .
10) SERVER
DNS
DNS

Tomar en Cuenta:
Para que el router se comporte como un servidor DNS es necesario activar
La opción ALLOW REMOTE REQUESTS
DNS STATIC

Tomar en Cuenta:
Cuando consulten a mikrotikprueba.com responderá la ip 192.168.4.9 ya que
un server dns resuelve peticiones .
11) AMARRE
IP MAC
Modos ARP

ENABLE: Aprende todo dinámicamente.

DISABLE: No responde consultas ARP a Nadie.

Reply-Only : Solo responde Consultas ARP a los que están en la TABLA ARP.

Proxy-arp: responde con su mac a todas las consultas ARP que hay sobre su interface.
LISTA ARP
PASO1
Tomar en Cuenta:
Vemos que en la
paso 1 aparecen
Varias ips y mac
dinámicamente (El
modo ARP está en
Enable)

PASO2

Tomar en Cuenta:
Al colocar la interface
en modo ARP - Reply-Only
Es necesario registrar la ip y la
Mac como se muestra en el paso2
para que tengan acceso a la red.
12) Firewall
Capa3
Firewal capa3
12.1. ¿Qué es un Firewall?

Un firewall es un dispositivo de seguridad de la red

que monitorea el tráfico de red -entrante y
saliente- y decide si permite o bloquea tráfico
específico.
Firewal capa3
12.2. ¿Por qué Firewall de Capa3 ?

Mikrotik tiene la capacidad de bloquear o

aceptar a nivel red (Direcciones IPS).
Firewal capa3
12.3. Cadenas de Filtrado

En RouteOS existen 3 Cadenas

No es lo mismo decir : Con destino 80 en Input

Con destino 80 en Forward
Firewall capa3
12.3.1 INPUT

/ip firewall filter

add chain=input comment="Firewall WAN" dst-port=8291 in-
interface=ether1 protocol=tcp
add chain=input connection-state=established in-interface=ether1
add chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1
Tomar en Cuenta:

Con estas reglas protegemos al router de cualquier ataque que pueda

Existir con dirección al Router (INPUT)
Firewall capa3
12.3.2 Output

Tomar en Cuenta:
Output es tráfico que sale del router
Firewall capa3
12.3.3 Forward

www.elcomercio.com

Tráfico Forward es todo lo que atraviesa el router ,

es decir que tiene como destino a Internet .
Firewal capa3
12.4. Acciones en Firewal

Acciones
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Firewal capa3
12.5 Escenario Real Mitigando ataques al Mikrotik

Tomar en Cuenta:
La red LAN (ether2) no esta haciendo uso de internet pero vemos que por la
interface wan existe tráfico de internet, eso quiere decir que por la wan
estamos recibiendo ataques o consultas a nuestro Router.
Firewall capa3
12.3.1 INPUT

/ip firewall filter

add chain=input comment="Firewall WAN" dst-port=8291 in-
interface=ether1 protocol=tcp
add chain=input connection-state=established in-interface=ether1
add chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1

Tomar en Cuenta:
Para este laboratorio usaremos las cadenas INPUT (porque es tráfico que
va hacia el router ). Asimismo, las acciones . Aceptar y Drop
 Gracias…
Howard Smith V P
Correo: soporte@compupalperu.com
web: compupalperu.com
Cel: 99415 4792
Facebook: Howard Smith Palacios