Bueno, ya muchos sabrán que MikroTik dispone de un Web Proxy server y un DNS Cache, pero muchas veces al momento de configurarlo no solemos cololocar las reglas necesarias para bloquear el acceso a estos recursos desde internet.
Muchos ser harán esta pregunta ¿Que podría pasar si no bloqueo el acceso a estos servicios desde internet?
La respuesta no es muy complicada. Si el servicio está abierto, por ejemplo el webproxy, cualquier tipo de spyware, malware o virus en general, podría informar esta falla de seguridad en nuestro servidor y aprovecharse de nosotros haciendo peticiones desde nuestro web proxy a internet, obviamente nos está consumiendo nuestra propia línea, y con más énfasis, nuestro escaso upload.
Cuando esto ocurre, se siente una extraña lentitud, y un uso bastante desproporcionado del upload del WAN respecto al upload de la interfaz de los clientes. Si se llega a abrir google para hacer una búsqueda, este te devolverá un mensaje con en esta imagen.
Bueno, luego de tanto preámbulo, vamos al grano.
Bloqueo webproxy externo:
Bloqueo DNS cache externo:
Voy a desmantelar un poco la primera regla e intentaré explicarla para que se hagan una idea de qué están copiando y pegando en sus servidores.
Muchos ser harán esta pregunta ¿Que podría pasar si no bloqueo el acceso a estos servicios desde internet?
La respuesta no es muy complicada. Si el servicio está abierto, por ejemplo el webproxy, cualquier tipo de spyware, malware o virus en general, podría informar esta falla de seguridad en nuestro servidor y aprovecharse de nosotros haciendo peticiones desde nuestro web proxy a internet, obviamente nos está consumiendo nuestra propia línea, y con más énfasis, nuestro escaso upload.
Cuando esto ocurre, se siente una extraña lentitud, y un uso bastante desproporcionado del upload del WAN respecto al upload de la interfaz de los clientes. Si se llega a abrir google para hacer una búsqueda, este te devolverá un mensaje con en esta imagen.
Bueno, luego de tanto preámbulo, vamos al grano.
Bloqueo webproxy externo:
Código:
/ip firewall filter add action=drop chain=input comment="Bloqueo webproxy externo" disabled=no dst-port=8080 in-interface=pppoe-out1 protocol=tcp
Código:
/ip firewall filter add action=drop chain=input comment="Bloqueo DNS cache externo" disabled=no dst-port=53 in-interface=pppoe-out1 protocol=udp
- action=drop, "arroja" los paquetes, no serán procesados.
- chain=input, utiliza la cadena input (conexiones y/o paqutes cuyo destino final sean el mismo servidor).
- in-interface=pppoe-out1, interfaz de entrada de las conexiones y/o paquetes (que serán bloqueados por action=drop), en este caso es el pppoe-out1. Se tiene que cambiar por la interfaz WAN que corresponda.
- protocol=tcp, protocolo de transmisión, el más utilizando en internet junto con en protocolo UDP.
- dst-port=8080, puerto destino (que será bloqueado por action=drop), por defecto de webproxy es el puerto 8080.
Sencillo pero muy bueno
ResponderEliminarTodo esta info esta copiado del foro peruano http://www.ryohnosuke.com/foros/index.php?threads/61/ al menos poner la fuente...
ResponderEliminar