Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 64 vistas

    Reglas Filter

    Cargado por

    Raul Gomez
    Este documento describe las configuraciones de cortafuegos para proteger una red privada y un router. Establece reglas para permitir solo el tráfico de la red local en el router e ICMP de cualquier interfaz, y rechazar todo lo demás. También crea cadenas para filtrar el tráfico TCP, UDP e ICMP entrante y saliente, rechazando puertos y direcciones conocidos como inseguros o no deseados, y solo permitiendo los códigos ICMP necesarios.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Reglas Filter

    Cargado por

    Raul Gomez
    64 vistas3 páginas
    Este documento describe las configuraciones de cortafuegos para proteger una red privada y un router. Establece reglas para permitir solo el tráfico de la red local en el router e ICMP de cualquier interfaz, y rechazar todo lo demás. También crea cadenas para filtrar el tráfico TCP, UDP e ICMP entrante y saliente, rechazando puertos y direcciones conocidos como inseguros o no deseados, y solo permitiendo los códigos ICMP necesarios.

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe las configuraciones de cortafuegos para proteger una red privada y un router. Establece reglas para permitir solo el tráfico de la red local en el router e ICMP de cualquier interfaz, y rechazar todo lo demás. También crea cadenas para filtrar el tráfico TCP, UDP e ICMP entrante y saliente, rechazando puertos y direcciones conocidos como inseguros o no deseados, y solo permitiendo los códigos ICMP necesarios.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    64 vistas3 páginas

    Reglas Filter

    Cargado por

    Raul Gomez
    Este documento describe las configuraciones de cortafuegos para proteger una red privada y un router. Establece reglas para permitir solo el tráfico de la red local en el router e ICMP de cualquier interfaz, y rechazar todo lo demás. También crea cadenas para filtrar el tráfico TCP, UDP e ICMP entrante y saliente, rechazando puertos y direcciones conocidos como inseguros o no deseados, y solo permitiendo los códigos ICMP necesarios.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 3

    Clavucid Agumentin 457

    Router protection

    Digamos que nuestra red privada es 192.168.0.0/24 y pblica (WAN) de la interfaz es Ether1. Vamos a establecer cortafuegos para permitir conexiones a un router s solo de nuestra red local y colocar el resto. Tambin vamos a permitir que el protocolo ICMP en cualquier interfaz para que cualquier persona pueda hacer ping a su router de Internet.
    /ip firewall filter add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections" add chain=input connection-state=established action=accept \ comment="Allow Established connections" add chain=input protocol=icmp action=accept \ comment="Allow ICMP" add chain=input src-address=192.168.0.0/24 action=accept \ in-interface=!ether1 add chain=input action=drop comment="Drop everything else"

    La proteccin del cliente Para proteger la red del cliente, debemos comprobar todo el trfico que pasa a travs del router y el bloque deseado. Para icmp, tcp, udp trfico vamos a crear cadenas, donde se Droped todos los paquetes no deseados:
    /ip firewall filter add chain=forward protocol=tcp connection-state=invalid \ action=drop comment="drop invalid connections" add chain=forward connection-state=established action=accept \ comment="allow already established connections" add chain=forward connection-state=related action=accept \ comment="allow related connections"

    Bloquear direcciones IP "Bogon"


    add add add add add add chain=forward chain=forward chain=forward chain=forward chain=forward chain=forward src-address=0.0.0.0/8 action=drop dst-address=0.0.0.0/8 action=drop src-address=127.0.0.0/8 action=drop dst-address=127.0.0.0/8 action=drop src-address=224.0.0.0/3 action=drop dst-address=224.0.0.0/3 action=drop

    Hacer saltos a nuevas cadenas:


    add chain=forward protocol=tcp action=jump jump-target=tcp add chain=forward protocol=udp action=jump jump-target=udp add chain=forward protocol=icmp action=jump jump-target=icmp

    Crea cadena tcp y negar algunos puertos tcp en ella:


    add chain=tcp protocol=tcp dst-port=69 action=drop \ comment="deny TFTP" add chain=tcp protocol=tcp dst-port=111 action=drop \ comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=135 action=drop \ comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=137-139 action=drop \ comment="deny NBT" add chain=tcp protocol=tcp dst-port=445 action=drop \ comment="deny cifs" add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"

    Denegar puertos UDP en cadena udp:

    add chain=udp add chain=udp portmapper" add chain=udp portmapper" add chain=udp NBT" add chain=udp NFS" add chain=udp BackOriffice"

    protocol=udp dst-port=69 action=drop comment="deny TFTP" protocol=udp dst-port=111 action=drop comment="deny PRC protocol=udp dst-port=135 action=drop comment="deny PRC protocol=udp dst-port=137-139 action=drop comment="deny protocol=udp dst-port=2049 action=drop comment="deny protocol=udp dst-port=3133 action=drop comment="deny

    Permitir slo cdigos ICMP necesarios en la cadena de icmp:

    add chain=icmp protocol=icmp icmp-options=0:0 comment="echo reply" add chain=icmp protocol=icmp icmp-options=3:0 comment="net unreachable" add chain=icmp protocol=icmp icmp-options=3:1 comment="host unreachable" add chain=icmp protocol=icmp icmp-options=3:4

    action=accept \ action=accept \ action=accept \ action=accept \

    comment="host unreachable fragmentation required" add chain=icmp protocol=icmp icmp-options=4:0 action=accept \ comment="allow source quench" add chain=icmp protocol=icmp icmp-options=8:0 action=accept \ comment="allow echo request" add chain=icmp protocol=icmp icmp-options=11:0 action=accept \ comment="allow time exceed" add chain=icmp protocol=icmp icmp-options=12:0 action=accept \ comment="allow parameter bad" add chain=icmp action=drop comment="deny all other types"

    También podría gustarte