5.

[Firewall - Filter Rules] ADDRESS LIST - Creando grupos de IP's

Buenos das, despus de haber pasado un periodo de vacaciones empezamos por
terminar el capitulo de FIREWALL FILTER RULES. Como ustedes podran ver dentro del
FIREWALL existe la pestaa llamada ADDRESS LIST.
Address List es una herramiento poderosa que caracteriza a Mikrotik, sta nos da la
habilidad de proveer una lista de direcciones, ya sea una sola o de un grupo de IP's (el
cual puede ser un subred tambin). Pero ustedes se preguntarn Y? bueno esto nos
ayuda a poder aplicar reglas a un cualquier conjunto de IP's que querramos, inclusive
a las IP's externas que no pertenecen a nuestra red, ya sea para bloquearlas,
marcarlas, agregarlas a una cadena, etc.


Pero como la teoria no se entiende si no hay practica vamos a desarrollar un par de
ejemplos que nos permitan poder saber a ciencia cierta lo que se puede hacer con este
comando.

Ejemplo 1
Hay situaciones donde necesitamos saber que equipos estan entrando a nuestra red,
imaginen que estan trabajando en una empresa y les piden que usted mencione
cuantas dispositivos (como computadoras, ipads, smartphone, etc) ingresan a la red
(el router tiene IP 192.168.1.1) en el periodo de una semana.
Nosotros no sabemos ese dato y no creo que sea buena la idea estar las 24 horas del
dia con lapiz y papel viendo quien ingresa o quien no.
Para ello usaremos el siguiente script
Agregamos una cadena "forward" a la red 192.168.1.0/24, esto representa toda la red,
y la accion que vamos a tomar es la de "add-src-to-address-list" traducido al espaol
es agregar al address-list llamado "LISTA DE IP's"
Cdigo:
/ip firewall filter
add chain=forward src-address=192.168.1.0/24 \
action=add-src-to-address-list address-list="LISTA DE IP's"
Para los que no se han habituado todavia con el TERMINAL de Mikrotik el script se
traduce en:




Entonces que es lo que va hacer estas reglas en el firewall, lo que va hacer es agregar
a la base de datos del ADDRESS LIST todas aquellas direcciones IP's que pasan por el
Mikrotik, y a este conjunto de IP's los va a etiquetar con un nombre llamado "LISTA DE
IP's".
Si pueden observar despues de algun tiempo se vera en la pestaa ADDRESS-LIST
varias IP's. Lo importante aqui es aprender la lgica de esta regla, en la que



Ejemplo 2
En su trabajo le piden que averigue que computadoras en la red 192.168.1.0/24 estn
usando programas Peer to Peer que se simboliza con P2P.
Como harian eso?. Bueno gracias al mikrotik no habria problema solo seria cuestion de
poner lo siguiente:
Cdigo:
/ip firewall filter
add chain=forward src-address=192.168.1.0/24 p2p=all-p2p \
action=add-src-to-address-list address-list="USAN P2P"
Como habrn visto es el mismo codigo anterior pero con la diferencia que hemos
agregado el termino p2p=all-p2p por lo que ahora solo agregara a los dispositivos
que usan P2P.



Ejemplo 3
Como segunda orden le dan que una vez encontrado a los dispositivos que estan
bajando P2P, se les bloquee todo paso a internet y a la red como medida de castigo.
Entonces para ello usaremos el siguiente script
Cdigo:
/ip firewall filter add action=drop chain=forward src-address-list="USAN P2P"






Espero que hayan podido entender el uso del ADDRESS-LIST ya que mas adelante se
usaran para poder dar reglas que nos ayudaran a proteger nuestra Red. Que tengan
buenas tardes.