Config Firewall Avanzado GPT

# Configuración de Firewall Avanzado
/ip firewall filter

add action=accept chain=input comment="Permitir tráfico HTTP/HTTPS" dst-port=80,443
protocol=tcp
add action=accept chain=input comment="Permitir tráfico DNS" dst-port=53
protocol=udp
add action=accept chain=input comment="Permitir tráfico SSH desde direcciones IP
específicas" dst-port=22 protocol=tcp src-address-list=ssh-whitelist
add action=accept chain=output comment="Permitir todo el tráfico saliente"
add action=drop chain=input comment="Bloquear tráfico entrante desde países
específicos" src-address-list=blocked-countries
add action=drop chain=input comment="Bloquear tráfico entrante desde direcciones IP
específicas" src-address-list=blocked-ips
add action=drop chain=input comment="Bloquear tráfico entrante no autorizado en el
puerto 3389" dst-port=3389 protocol=tcp
add action=drop chain=output comment="Bloquear tráfico saliente a sitios web
maliciosos" dst-address-list=malicious-websites
add action=reject chain=output comment="Bloquear tráfico saliente de correos
electrónicos no autorizados" dst-port=25 protocol=tcp reject-with=icmp-network-
unreachable
# Protección contra Amenazas Específicas

/ip firewall filter
add action=drop chain=forward comment="Bloquear tráfico de red local a servidores
vulnerables" dst-address-list=vulnerable-servers in-interface=lan protocol=tcp dst-
port=445,139
add action=drop chain=input comment="Bloquear tráfico entrante de SSH con
contraseñas débiles" dst-port=22 protocol=tcp reject-with=icmp-admin-prohibited
src-address-list=ssh-brute-force
add action=drop chain=input comment="Bloquear tráfico entrante de SMB con
credenciales inválidas" dst-port=445,139 protocol=tcp reject-with=icmp-admin-
prohibited src-address-list=smb-brute-force
# Características Avanzadas de Seguridad

/ip firewall filter
add action=drop chain=forward comment="Detectar y bloquear paquetes con demasiados
saltos TTL" in-interface=wan log-prefix=ttl-expired protocol=icmp ttl=1-5
add action=drop chain=input comment="Detectar y bloquear paquetes con direcciones
MAC falsas" in-interface=wan log-prefix=fake-mac-address mac-protocol=ip
add action=add-dst-to-address-list address-list=blacklist address-list-timeout=1w
chain=forward comment="Agregar direcciones IP sospechosas a la lista negra" log-
prefix=suspicious-traffic protocol=tcp tcp-flags=syn src-address-list=!whitelist
Otra opcion
# Configuración de Firewall Avanzado

/ip firewall filter
add action=accept chain=input comment="Permitir tráfico entrante HTTP" dst-port=80
protocol=tcp
add action=accept chain=input comment="Permitir tráfico entrante HTTPS" dst-
port=443 protocol=tcp
add action=accept chain=input comment="Permitir tráfico entrante DNS" dst-port=53
protocol=tcp,udp
add action=accept chain=input comment="Permitir tráfico entrante NTP" dst-port=123
protocol=udp
add action=accept chain=input comment="Permitir tráfico entrante SSH" dst-port=22
protocol=tcp
add action=accept chain=input comment="Permitir tráfico entrante SNMP" dst-
port=161,162 protocol=udp
add action=accept chain=input comment="Permitir tráfico entrante WinBox" dst-
add action=accept chain=input comment="Permitir tráfico entrante FTP" dst-
port=20,21 protocol=tcp
add action=accept chain=input comment="Permitir tráfico entrante SMTP" dst-
add action=accept chain=input comment="Permitir tráfico entrante IMAP" dst-port=143
protocol=tcp
add action=accept chain=input comment="Permitir tráfico entrante POP3" dst-port=110
protocol=tcp
add action=accept chain=input comment="Permitir tráfico entrante OpenVPN" dst-
port=1194 protocol=udp
add action=accept chain=input comment="Permitir tráfico entrante VoIP" dst-
port=5060,5061,10000-20000 protocol=udp
add action=accept chain=input comment="Permitir tráfico entrante SMB" dst-
add action=accept chain=input comment="Permitir tráfico entrante RDP" dst-port=3389
protocol=tcp
add action=accept chain=input comment="Permitir tráfico entrante HTTP Proxy" dst-
add action=drop chain=input comment="Bloquear todo el tráfico entrante no

permitido"
add action=accept chain=forward comment="Permitir tráfico interno" in-interface=lan

out-interface=wlan1,wlan2
add action=drop chain=forward comment="Bloquear tráfico interno no permitido" in-
interface=lan
# Protección contra Ataques

/ip firewall filter
add action=add-src-to-address-list address-list=attacked address-list-timeout=1h
chain=input comment="Detectar ataques de inundación SYN" protocol=tcp tcp-flags=syn
limit=30,5:packet
add action=drop chain=input comment="Bloquear ataques de inundación SYN" address-
list=attacked
add action=accept chain=input comment="Permitir tráfico SMTP autenticado" dst-
port=25,587 protocol=tcp src-address-list=authenticated
add action=add-src-to-address-list address-list=authenticated address-list-
timeout=1h chain=forward comment="Detectar tráfico SMTP autenticado" dst-
# Configuración de NAT
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1
add
OTRA OPCION
# Configuración de Firewall Básico

/ip firewall filter
add action=accept chain=input comment="Permitir todo el tráfico entrante
relacionado y establecido" connection-state=established,related
add action=accept chain=input comment="Permitir tráfico entrante SSH" dst-port=22
protocol=tcp
add action=accept chain=input comment="Permitir tráfico entrante ICMP (ping)"
protocol=icmp
add action=accept chain=output comment="Permitir todo el tráfico saliente"
add action=drop chain=input comment="Bloquear todo el tráfico entrante no
permitido"
add action=drop chain=output comment="Bloquear todo el tráfico saliente no
permitido"
# Control de Acceso a la Red

/ip firewall filter
add action=drop chain=forward comment="Bloquear tráfico de la red local a Internet"
out-interface=wlan1,wlan2
add action=accept chain=forward comment="Permitir tráfico de red local" in-
interface=lan
add action=accept chain=forward comment="Permitir tráfico saliente HTTP" out-
interface=wlan1,wlan2 protocol=tcp dst-port=80
add action=accept chain=forward comment="Permitir tráfico saliente HTTPS" out-
interface=wlan1,wlan2 protocol=tcp dst-port=443
add action=accept chain=forward comment="Permitir tráfico saliente DNS" out-
interface=wlan1,wlan2 protocol=udp dst-port=53
add action=accept chain=forward comment="Permitir tráfico saliente NTP" out-
interface=wlan1,wlan2 protocol=udp dst-port=123
# Protección contra Ataques

/ip firewall filter
add action=drop chain=input comment="Protección contra ataques de inundación SYN"
protocol=tcp tcp-flags=syn limit=30,5:packet
add action=drop chain=input comment="Protección contra escaneo de puertos"
protocol=tcp psd=21,3s,1,1
add action=drop chain=forward comment="Protección contra ataques de inundación"
connection-limit=100,32 protocol=tcp tcp-flags=syn
# Filtrado de Contenido
/ip firewall filter
add action=drop chain=forward comment="Bloquear sitios web para adultos" out-
interface=wlan1,wlan2 layer7-protocol=adult-content
add action=drop chain=forward comment="Bloquear sitios web de juegos" out-
interface=wlan1,wlan2 layer7-protocol=games
add action=drop chain=forward comment="Bloquear sitios web de redes sociales" out-
interface=wlan1,wlan2 layer7-protocol=social-media
/ip firewall nat
OTRA OPCION
# Protección contra amenazas conocidas

/ip firewall filter
add action=drop chain=forward comment="Bloquear tráfico de la red local a
direcciones IP conocidas de malware" dst-address-list=malware
direcciones IP conocidas de botnets" dst-address-list=botnets
direcciones IP conocidas de phishing" dst-address-list=phishing
# Reglas de detección de ataques
/ip firewall filter
add action=add-dst-to-address-list address-list=ssh-blacklist address-list-
timeout=1w3d chain=input comment="Añadir dirección IP a lista negra de SSH si se
produce un ataque" dst-port=22 protocol=tcp synack-limit=1,1
add action=drop chain=input comment="Bloquear tráfico SSH de la lista negra" dst-
address-list=ssh-blacklist
add action=add-src-to-address-list address-list=port-scan address-list-timeout=1m
chain=input comment="Añadir dirección IP a lista de escaneo de puertos si se
produce un escaneo" protocol=tcp psd=21,3s,1,1
add action=drop chain=input comment="Bloquear tráfico de la lista de escaneo de
puertos" src-address-list=port-scan
# Configuración avanzada de firewall

/ip firewall filter
set fasttrack-connection=yes
set limit-connections=65536
set max-concurrent-tcp-sessions=1000000
set max-dynamic-entries=200000
# Protección contra ataques de inundación

/ip firewall filter
add action=add-src-to-address-list address-list=flood-attack address-list-
timeout=1s chain=input comment="Añadir dirección IP a lista de ataque de inundación
si se detecta un ataque SYN" protocol=tcp tcp-flags=syn limit=30,5:packet
add action=drop chain=input comment="Bloquear tráfico de la lista de ataque de
inundación" src-address-list=flood-attack
add action=accept chain=input comment="Permitir tráfico establecido" connection-
state=established
add action=accept chain=input comment="Permitir tráfico relacionado" connection-
state=related
add action=drop chain=input comment="Bloquear todo lo demás"
/ip firewall nat

Config Firewall Avanzado GPT

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Config Firewall Avanzado GPT

Cargado por

Copyright:

Formatos disponibles

# Configuración de Firewall Avanzado

/ip firewall filter

# Protección contra Amenazas Específicas

# Características Avanzadas de Seguridad

# Configuración de Firewall Avanzado

add action=drop chain=input comment="Bloquear todo el tráfico entrante no

add action=accept chain=forward comment="Permitir tráfico interno" in-interface=lan

# Protección contra Ataques

# Configuración de Firewall Básico

# Control de Acceso a la Red

# Protección contra Ataques

# Protección contra amenazas conocidas

# Configuración avanzada de firewall

# Protección contra ataques de inundación

También podría gustarte