La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

© Index 2005 RouterOS Introducción al sistema operativo RouterOS Mikrotik.

Presentaciones similares


Presentación del tema: "© Index 2005 RouterOS Introducción al sistema operativo RouterOS Mikrotik."— Transcripción de la presentación:

1 © Index 2005 RouterOS Introducción al sistema operativo RouterOS Mikrotik

2 © Index 2005 Que es el RouterOS? El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalámbrico o cliente y mucho mas… El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalámbrico o cliente y mucho mas… El RouterOS puede hacer casi cualquier cosa que tenga que ver con tus necesidades de red, además de cierta funcionalidad como servidor. El RouterOS puede hacer casi cualquier cosa que tenga que ver con tus necesidades de red, además de cierta funcionalidad como servidor.

3 © Index 2005 Estructura del RouterOS Basado en kernel de Linux. Basado en kernel de Linux. Puede ejecutarse desde discos IDE o módulos de memoria flash. Puede ejecutarse desde discos IDE o módulos de memoria flash. Diseño modular. Diseño modular. Módulos actualizables. Módulos actualizables. Interfase grafica amigable. Interfase grafica amigable.

4 © Index 2005 Licenciamiento La Licencia es por instalación. La Licencia es por instalación. Algunas funcionalidades requieren de cierto nivel de licenciamiento. Algunas funcionalidades requieren de cierto nivel de licenciamiento. La Licencia nunca expira, esto significa que el ruteador funcionara de por vida. La Licencia nunca expira, esto significa que el ruteador funcionara de por vida. EL ruteador puede ser actualizado durante el periodo de actualización (1 año después de la compra de la licencia). EL ruteador puede ser actualizado durante el periodo de actualización (1 año después de la compra de la licencia). El periodo de actualización puede ser extendido a un 60% del costo de la licencia. El periodo de actualización puede ser extendido a un 60% del costo de la licencia.

5 © Index 2005 Niveles de Licenciamiento Nivel 0: DEMO, GRATIS, tiene todas las funcionalidades sin limite, funciona solo 24 hrs, después de ello debe de ser REINSTALADO Nivel 0: DEMO, GRATIS, tiene todas las funcionalidades sin limite, funciona solo 24 hrs, después de ello debe de ser REINSTALADO Nivel 1: Licencia SOHO, GRATIS, pero requiere registrarse en tiene limitaciones, (1src-nat, 1dst-nat, 1 pppoe, …) Nivel 1: Licencia SOHO, GRATIS, pero requiere registrarse en tiene limitaciones, (1src-nat, 1dst-nat, 1 pppoe, …)www.mikrotik.com

6 © Index 2005 Niveles de Licenciamiento, cont. Nivel 4: WISP, cliente inalámbrico, Punto de Acceso Inalámbrico, gateway de HotSpot. Nivel 4: WISP, cliente inalámbrico, Punto de Acceso Inalámbrico, gateway de HotSpot. Nivel 5: WISP AP, Access Point inalámbrico y cliente, Gateway de HotSpot (mas conexiones soportadas) Nivel 5: WISP AP, Access Point inalámbrico y cliente, Gateway de HotSpot (mas conexiones soportadas) Nivel 6: CONTROLLER, Todo sin limite! Nivel 6: CONTROLLER, Todo sin limite! Nota: Una Licencia basta para cualquier numero de interfaces inalámbricas en el ruteador. Nota: Una Licencia basta para cualquier numero de interfaces inalámbricas en el ruteador.

7 © Index 2005 Características de RouterOS Ruteo. Estático o dinámico, políticas de enrutamiento. Ruteo. Estático o dinámico, políticas de enrutamiento. Bridging. Protocolo Spanning tree, interfaces múltiples bridge, firewall en el bridge Bridging. Protocolo Spanning tree, interfaces múltiples bridge, firewall en el bridge Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Cache: Web-proxy, DNS Cache: Web-proxy, DNS Gateway de HotSpot Gateway de HotSpot Lenguaje interno de scripts Lenguaje interno de scripts

8 © Index 2005 Características del RouterOS Filtrado de paquetes por Filtrado de paquetes por Origen, IP de destino Origen, IP de destino Protocolos, puertos Protocolos, puertos Contenidos (seguimiento de conexiones P2P) Contenidos (seguimiento de conexiones P2P) Puede detectar ataques de denegación de servicio (DoS) Puede detectar ataques de denegación de servicio (DoS) Permite solamente cierto numero de paquetes por periodo de tiempo Permite solamente cierto numero de paquetes por periodo de tiempo Que pasa enseguida si el limite es desbordado o sobrepasado Que pasa enseguida si el limite es desbordado o sobrepasado

9 © Index 2005 Calidad de Servicio (QoS) Varios tipos de tipos de queue: Varios tipos de tipos de queue: RED, BFIFO, PFIFO, PCQ RED, BFIFO, PFIFO, PCQ Sencillo de aplicar queues simples: Sencillo de aplicar queues simples: Por origen/destino red/dirección ip de cliente, interfase Por origen/destino red/dirección ip de cliente, interfase Árboles de queues mas complejos: Árboles de queues mas complejos: Por protocolo, puerto, tipo de conexión. Por protocolo, puerto, tipo de conexión.

10 © Index 2005 Interfaces del RouterOS Ethernet 10/100, Gigabit Ethernet 10/100, Gigabit Inalámbrica (Atheros, Prism, CISCO/Aironet) Inalámbrica (Atheros, Prism, CISCO/Aironet) Punto de acceso o modo estación/cliente, WDS Punto de acceso o modo estación/cliente, WDS Síncronas: V35, T1, Frame Relay Síncronas: V35, T1, Frame Relay Asíncronas: Onboard serial, 8-port PCI Asíncronas: Onboard serial, 8-port PCI ISDN ISDN xDSL xDSL Virtual LAN (VLAN) Virtual LAN (VLAN)

11 © Index 2005 Como acceder al Router Los ruteadores MikroTik pueden ser accedidos vía: Los ruteadores MikroTik pueden ser accedidos vía: Monitor y teclado Monitor y teclado Terminal Serial Terminal Serial Telnet Telnet Telnet de MAC Telnet de MAC SSH SSH Interfase grafica WinBox Interfase grafica WinBox

12 © Index 2005 Herramientas de manejo de red RouterOS ofrece un buen numero de herramientas : RouterOS ofrece un buen numero de herramientas : Ping, traceroute Ping, traceroute Medidor de ancho de banda Medidor de ancho de banda Contabilización de trafico Contabilización de trafico SNMP SNMP Torch Torch Sniffer de Paquetes Sniffer de Paquetes

13 © Index 2005 Interface CLI La primera vez que se entra use admin sin password. La primera vez que se entra use admin sin password. Una vez dentro teclee ? para ver los comandos disponibles en este nivel de menú Una vez dentro teclee ? para ver los comandos disponibles en este nivel de menú [MikroTik] > ? [MikroTik] > ? [MikroTik] > interface ? [MikroTik] > interface ? [MikroTik] > [MikroTik] > Argumentos disponibles para cada comando se obtienen de la misma manera: ? Argumentos disponibles para cada comando se obtienen de la misma manera: ?

14 © Index 2005 Navegación vía menús CLI Vaya a un nivel diferente de comandos usando sintaxis absoluta o relativa: Vaya a un nivel diferente de comandos usando sintaxis absoluta o relativa: [MikroTik] > interface {Enter} [MikroTik] > interface {Enter} [MikroTik] interface > wireless {Enter} [MikroTik] interface > wireless {Enter} [MikroTik] interface wireless >.. eth {Enter} [MikroTik] interface wireless >.. eth {Enter} [MikroTik] interface ethernet > print {Enter} [MikroTik] interface ethernet > print {Enter}

15 © Index 2005 LA tecla [Tab] Comandos y argumentos no necesitan ser completamente tecleados, con teclear la tabla [Tab] se completan. Comandos y argumentos no necesitan ser completamente tecleados, con teclear la tabla [Tab] se completan. Si un simple [Tab] no completa el comando, presiónelo 2 veces para ver las opciones disponibles. Si un simple [Tab] no completa el comando, presiónelo 2 veces para ver las opciones disponibles.

16 © Index 2005 Comandos mas populares Comandos mas populares en RouterOS en los menús CLI son: Comandos mas populares en RouterOS en los menús CLI son: Print y export Print y export set y edit set y edit add / remove add / remove enable / disable enable / disable move move comment comment monitor monitor

17 © Index 2005 Print y Monitor print es uno de los mas usados en CLI. Imprime una lista de cosas y puede ser usado con diferentes argumentos,ejemplo print es uno de los mas usados en CLI. Imprime una lista de cosas y puede ser usado con diferentes argumentos,ejemplo print status, print status, print interval=2s, print interval=2s, print without-paging, etc. print without-paging, etc. Use print ? para ver los argumentos disponibles Use print ? para ver los argumentos disponibles monitor usado repetidamente muestra el estatus monitor usado repetidamente muestra el estatus /interface wireless monitor wlan1 /interface wireless monitor wlan1

18 © Index 2005 …Cont Use add, set, o remove para adicionar, cambiar, o remover reglas Use add, set, o remove para adicionar, cambiar, o remover reglas Reglas pueden ser deshabilitados sin removerlos, usando el comando disabled. Reglas pueden ser deshabilitados sin removerlos, usando el comando disabled. Algunas reglas pueden ser movidas con el comando move. Algunas reglas pueden ser movidas con el comando move.

19 © Index 2005 WinBox GUI WinBox es mucho mas fácil que el CLI, al ser una interfase grafica. WinBox es mucho mas fácil que el CLI, al ser una interfase grafica. winbox.exe es un pequeño programa que se ejecuta desde una estación de trabajo conectada al ruteador. winbox.exe es un pequeño programa que se ejecuta desde una estación de trabajo conectada al ruteador. winbox.exe corre bajo WINE en Linux winbox.exe corre bajo WINE en Linux Winbox usa el puerto TCP 8291 para conectarse al ruteador Winbox usa el puerto TCP 8291 para conectarse al ruteador Comunicación entre el winbox y el ruteador esta encriptada Comunicación entre el winbox y el ruteador esta encriptada

20 © Index 2005 Instalación del ruteador MikroTik El ruteador MikroTik puede ser instalado usando: El ruteador MikroTik puede ser instalado usando: Floppy disks (muy tedioso) Floppy disks (muy tedioso) CD creado desde una imagen ISO, contiene todos los paquetes. CD creado desde una imagen ISO, contiene todos los paquetes. Vía red usando netinstall, la pc donde se instalará debe botear con un floppy, o usando Protocolos PXE o EtherBoot desde algunas ROMS de ciertas tarjetas de red. Vía red usando netinstall, la pc donde se instalará debe botear con un floppy, o usando Protocolos PXE o EtherBoot desde algunas ROMS de ciertas tarjetas de red. Con imagen de Disco Con imagen de Disco Con Memoria Flash/IDE Con Memoria Flash/IDE

21 © Index 2005 Netinstall Netinstall es un programa que convierte tu estación de trabajo en un servidor de instalación. Netinstall es un programa que convierte tu estación de trabajo en un servidor de instalación. Netinstall usa los paquetes de programas desde tu estacion de trabajo y los instala en: Netinstall usa los paquetes de programas desde tu estacion de trabajo y los instala en: La PC que boteo usando PXE or Etherboot La PC que boteo usando PXE or Etherboot El disco secundario de tu estación de trabajo El disco secundario de tu estación de trabajo Netinstall.exe y los programas de paquetes pueden ser bajados desde mikrotik.com Netinstall.exe y los programas de paquetes pueden ser bajados desde mikrotik.com

22 © Index 2005 Laboratorio de Instalación Habilite el RouterBoard para botar desde la red Habilite el RouterBoard para botar desde la red El RouterBoard y tu estación de trabajo deben estar en el mismo segmento de red o conectados con un cable cruzado El RouterBoard y tu estación de trabajo deben estar en el mismo segmento de red o conectados con un cable cruzado Ejecute netinstall en tu estación de trabajo Ejecute netinstall en tu estación de trabajo Seleccione el ruteador donde se instalara Seleccione el ruteador donde se instalara Seleccione los paquetes de programa a instalar Seleccione los paquetes de programa a instalar Habilite el Boot Server y la dirección del cliente (poner direccion ip del mismo segmento que tenga la pc a instalarse Habilite el Boot Server y la dirección del cliente (poner direccion ip del mismo segmento que tenga la pc a instalarse

23 © Index 2005 Configuracion de Netinstall

24 © Index 2005 Actualizando el Router Ponga los archivos de las nuevas versiones en el router por medio de FTP usando modo binario de transmision y reinicie el router /system reboot Ponga los archivos de las nuevas versiones en el router por medio de FTP usando modo binario de transmision y reinicie el router /system reboot Alternativamente puedes usar la instrucción /system upgrade para transferir los archivos desde un server FTP o desde otro ruteador si los tienes ahí. Alternativamente puedes usar la instrucción /system upgrade para transferir los archivos desde un server FTP o desde otro ruteador si los tienes ahí.

25 © Index 2005 Configuración Básica Interfaces deben estar habilitadas y funcionando (cables conectados, interfase inalámbrica configurada) Interfaces deben estar habilitadas y funcionando (cables conectados, interfase inalámbrica configurada) Direcciones IP asignadas a las interfaces: Direcciones IP asignadas a las interfaces: [MikroTik] > /ip address \ add address= /24 interface=ether1 Adicione la ruta de default Adicione la ruta de default [MikroTik] > /ip route \ add gateway=

26 © Index 2005 Comando Setup Use el comando setup para la configuración inicial Use el comando setup para la configuración inicial Algunos otros menús tienen opción de setup, entre ellos: Algunos otros menús tienen opción de setup, entre ellos: HotSpot setup HotSpot setup DHCP server setup DHCP server setup

27 © Index 2005 Interfase bridge Interfaces Bridge son anadidas con el comando: Interfaces Bridge son anadidas con el comando: [MikroTik] > /interface bridge add Puede haber mas de una interfase Bridge Puede haber mas de una interfase Bridge Tu puedes Tu puedes Cambiar el nombre de la interfase Bridge; Cambiar el nombre de la interfase Bridge; Habilitar el STP (Spanning Tree Protocol) y configurarlo Habilitar el STP (Spanning Tree Protocol) y configurarlo Activar los protocolos a pasar de un bridge a otro. Activar los protocolos a pasar de un bridge a otro.

28 © Index 2005 Puertos de Bridge Cada Interfase puede ser configurada para ser miembro de un bridge Cada Interfase puede ser configurada para ser miembro de un bridge Interfaces inalámbricas en modo estación no pueden ser parte de un bridge. Interfaces inalámbricas en modo estación no pueden ser parte de un bridge. Prioridad y costo de path pueden ser ajustadas para su uso con STP Prioridad y costo de path pueden ser ajustadas para su uso con STP

29 © Index 2005 Laboratorio de Configuración de una Red Privada Conecta tu ruteador vía cable cruzado Conecta tu ruteador vía cable cruzado Ejecuta Mac-Telnet para conectarte a el Ejecuta Mac-Telnet para conectarte a el Remueve todas las direcciones de las interfases Remueve todas las direcciones de las interfases Selecciona una red privada para ti Selecciona una red privada para ti 10…., or …., or …. 10…., or …., or …. Asigna una dirección privada para la ether1 Asigna una dirección privada para la ether1

30 © Index 2005 Laboratorio de DHCP Ejecuta el setup /ip dhcp-server setup Ejecuta el setup /ip dhcp-server setup Usa las ips de tus ruteadores como servidores DNS en la configuración de DHCP Usa las ips de tus ruteadores como servidores DNS en la configuración de DHCP Vea si la estación de trabajo recibe una IP Vea si la estación de trabajo recibe una IP Vea las ips asignadas Vea las ips asignadas /ip dhcp-server lease print /ip dhcp-server lease print

31 © Index 2005 Estructura de firewall

32 © Index 2005 Principios del Firewall Las reglas de firewall están organizadas en cadenas (chains) Las reglas de firewall están organizadas en cadenas (chains) Reglas en cadenas son procesadas en el orden que aparecen Reglas en cadenas son procesadas en el orden que aparecen Si una regla la cumple un paquete, la accion especificada es tomada Si una regla la cumple un paquete, la accion especificada es tomada Si el paquete no cumple la regla, o hay una acción=passthrough, la siguiente regla es procesada Si el paquete no cumple la regla, o hay una acción=passthrough, la siguiente regla es procesada La acción de default para la cadena es hecha después de haber alcanzado el fin de la cadena La acción de default para la cadena es hecha después de haber alcanzado el fin de la cadena

33 © Index 2005 Cadenas de Firewall Por default hay 3 cadenas incluidas: Por default hay 3 cadenas incluidas: input – procesa paquetes que tienen como destino el ruteador input – procesa paquetes que tienen como destino el ruteador output – procesa paquetes que son mandados por el mismo ruteador output – procesa paquetes que son mandados por el mismo ruteador forward – procesa trafico que pasa a través del ruteador forward – procesa trafico que pasa a través del ruteador Los usuarios pueden añadir sus propias cadenas de firewall y reglas a ellas Los usuarios pueden añadir sus propias cadenas de firewall y reglas a ellas Reglas en las cadenas añadidas por el usuario pueden ser procesadas usando la opción=jump desde la cadena del usuario a otra regla en otra cadena Reglas en las cadenas añadidas por el usuario pueden ser procesadas usando la opción=jump desde la cadena del usuario a otra regla en otra cadena

34 © Index 2005 Acciones de las reglas de Firewall Si una regla de firewall se cumple para un paquete, una de las siguientes acciones puede hacerse: Si una regla de firewall se cumple para un paquete, una de las siguientes acciones puede hacerse: passthrough – action es ejecutada y la siguiente regla es procesada passthrough – action es ejecutada y la siguiente regla es procesada accept – paquete es aceptado accept – paquete es aceptado drop – paquete es ignorado drop – paquete es ignorado reject – paquete es ignorado y se le manda un mensaje ICMP al que lo mando reject – paquete es ignorado y se le manda un mensaje ICMP al que lo mando jump – paquete es mandado para su procesamiento a otra cadena jump – paquete es mandado para su procesamiento a otra cadena return – paquete es retornado a la tabla previa, desde donde fue recibido return – paquete es retornado a la tabla previa, desde donde fue recibido

35 © Index 2005 Protegiendo el ruteador El acceso al router es controlado por las reglas de filtrado de la cadena input. El acceso al router es controlado por las reglas de filtrado de la cadena input. Nota, Los filtros de IP no filtran comunicaciones de nivel 2 OSI, por ejemplo MAC Telnet Nota, Los filtros de IP no filtran comunicaciones de nivel 2 OSI, por ejemplo MAC Telnet Deshabilite el MAC-Server al menos en la interfase publica para asegurar buena seguridad. Deshabilite el MAC-Server al menos en la interfase publica para asegurar buena seguridad.

36 © Index 2005 Cadena Input Haga reglas en esta cadena como estas: Haga reglas en esta cadena como estas: Permitir established y related connections Permitir established y related connections Permitir UDP Permitir UDP Permitir pings limitados, hacer drop de exceso de pings Permitir pings limitados, hacer drop de exceso de pings Permitir acceso de redes seguras Permitir acceso de redes seguras Permitir acceso via PPTP VPN Permitir acceso via PPTP VPN Drop y log todo lo demas Drop y log todo lo demas

37 © Index 2005 Ejemplo de cadena Input Ejemplo de cadena Input /ip firewall rule input add connection-state=established comment="Established connections" add connection-state=related comment="Related connections" add protocol=udp comment=Allow UDP" add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \ comment="Allow limited pings" comment="Allow limited pings" add protocol=icmp action=drop \ comment="Drop excess pings" comment="Drop excess pings" add src-addr= /28 comment="From trusted network add src-addr= /24 comment="From our private network" add protocol=tcp tcp-options=syn-only dst-port=1723 \ comment="Allow PPTP" comment="Allow PPTP" add protocol=47 comment="Allow PPTP" add action=drop log=yes comment="Log and drop everything else"

38 © Index 2005 Ejemplo de cadena definida por el usuario /ip firewall rule virus add protocol=tcp dst-port= action=drop comment="Drop Blaster Worm" add protocol=udp dst-port= action=drop comment="Drop Messenger Worm" add protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm" add protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"

39 © Index 2005 Filtrado de virus conocidos Paquetes iniciados por virus conocidos, pueden ser filtrados por reglas en alguna cadena definida por el usuario: Paquetes iniciados por virus conocidos, pueden ser filtrados por reglas en alguna cadena definida por el usuario: /ip firewall rule virus add protocol=tcp dst-port= action=drop \ comment="Drop Blaster Worm" comment="Drop Blaster Worm" add protocol=udp dst-port= action=drop \ comment="Drop Messenger Worm" comment="Drop Messenger Worm" add protocol=tcp dst-port=445 action=drop \ comment="Drop Blaster Worm" comment="Drop Blaster Worm" add protocol=udp dst-port=445 action=drop \ comment="Drop Blaster Worm comment="Drop Blaster Worm add protocol=tcp dst-port=4444 action=drop comment="Worm" add protocol=tcp dst-port=12345 action=drop comment="NetBus"

40 © Index 2005 Jump a la cadena definida por el usuario Jump a la cadena definida por el usuario desde las cadenas input y forward despues de las primeras dos reglas: Jump a la cadena definida por el usuario desde las cadenas input y forward despues de las primeras dos reglas: add connection-state=established \ comment="Established connections" comment="Established connections" add connection-state=related \ comment="Related connections" comment="Related connections" add action=jump jump-target=virus \ comment=Checando por virus comment=Checando por virus…

41 © Index 2005 Laboratorio de Firewall Proteja su router de accesos no autorizados con cadenas de input: Proteja su router de accesos no autorizados con cadenas de input: Permita acceso solo desde la red que estas usando en la laptop y el router Permita acceso solo desde la red que estas usando en la laptop y el router Log todo acceso no autorizado Log todo acceso no autorizado Prueba si el acceso ha sido bloqueado desde fuera Prueba si el acceso ha sido bloqueado desde fuera____________________________________________________________________________________________________________

42 © Index 2005 Marcado de paquetes Paquetes pueden cambiar sus parámetros iniciales, ejemplo, sus direcciones dentro del firewall, de la misma manera los paquetes pueden ser marcados para identificarlos después dentro del router Paquetes pueden cambiar sus parámetros iniciales, ejemplo, sus direcciones dentro del firewall, de la misma manera los paquetes pueden ser marcados para identificarlos después dentro del router Marcar es la única manera de identificar paquetes dentro de los queues de árbol Marcar es la única manera de identificar paquetes dentro de los queues de árbol Marcado de paquetes puede ser usado como un clasificador para diferentes políticas de ruteo Marcado de paquetes puede ser usado como un clasificador para diferentes políticas de ruteo Siempre cheque el diagrama de la estructura del firewall para entender los procedimientos correctos de configuración del firewall Siempre cheque el diagrama de la estructura del firewall para entender los procedimientos correctos de configuración del firewall

43 © Index 2005 Tracking de Conexiones Tracking de Conexiones Connection Tracking (CONNTRACK) es un sistema que crea una tabla de conexiones activas Connection Tracking (CONNTRACK) es un sistema que crea una tabla de conexiones activas Un status es asignado para cada paquete: Un status es asignado para cada paquete: Invalid – paquete ya no forma parte de ninguna conexión conocida Invalid – paquete ya no forma parte de ninguna conexión conocida New – el paquete esta abriendo una nueva conexión New – el paquete esta abriendo una nueva conexión Established – el paquete pertenece a una conexión establecida Established – el paquete pertenece a una conexión establecida Related – el paquete crea una nueva conexión relativa a alguna conexion ya abierta Related – el paquete crea una nueva conexión relativa a alguna conexion ya abierta El status no es necesario solamente para conexiones TCP. De cualquier manera connection es considerada aquí como un intercambio de datos de dos vias El status no es necesario solamente para conexiones TCP. De cualquier manera connection es considerada aquí como un intercambio de datos de dos vias Status es usado en los filtros de firewall Status es usado en los filtros de firewall CONNTRACK es usado para marcar los paquetes CONNTRACK es usado para marcar los paquetes CONNTRACK es necesario para hacer NAT CONNTRACK es necesario para hacer NAT

44 © Index 2005 Nat de origen SRC-NAT permite el cambio de dirección origen y puerto a la dirección local y puerto del ruteador (enmascaramiento), o algún otra dirección y puerto especificado SRC-NAT permite el cambio de dirección origen y puerto a la dirección local y puerto del ruteador (enmascaramiento), o algún otra dirección y puerto especificado Aplicación típica de SRC-NAT es esconder una red privada detrás de una o mas direcciones publicas Aplicación típica de SRC-NAT es esconder una red privada detrás de una o mas direcciones publicas La dirección origen trasladada debe pertenecer al ruteador, a menos que otras medidas sean tomadas para asegurar el uso de diferentes direcciones. La dirección origen trasladada debe pertenecer al ruteador, a menos que otras medidas sean tomadas para asegurar el uso de diferentes direcciones.

45 © Index 2005 Ejemplo de SRC-NAT Especifique la dirección origen a ser enmascarada: Especifique la dirección origen a ser enmascarada: /ip firewall src-nat add src-address= /24 action=masquerade O, Especifique la interfase de salida, cuando enmascaramiento deba ser usado: O, Especifique la interfase de salida, cuando enmascaramiento deba ser usado: /ip firewall src-nat add out-interface=Public action=masquerade

46 © Index 2005 Laboratorio SRC-NAT Configura tu ruteador para enmascarar trafico originado desde tu red privada, cuando esta salga del ruteador por la interfase publica. Configura tu ruteador para enmascarar trafico originado desde tu red privada, cuando esta salga del ruteador por la interfase publica. Usa el diagrama como guía Usa el diagrama como guía

47 © Index 2005 DST-NAT DST-NAT permite cambiar la dirección y el puerto del receptor a alguna otra dirección y puerto conocido localmente por el ruteador o se llegue a el vía ruteo DST-NAT permite cambiar la dirección y el puerto del receptor a alguna otra dirección y puerto conocido localmente por el ruteador o se llegue a el vía ruteo Típicamente usado para acceder servicios en una red privada desde direcciones publicas accediendo las direcciones publicas que enmascaran alguna red Típicamente usado para acceder servicios en una red privada desde direcciones publicas accediendo las direcciones publicas que enmascaran alguna red

48 © Index 2005 Ejemplo de Destination NAT Redireccione el puerto TCP 2323 al puerto 23 del router: Redireccione el puerto TCP 2323 al puerto 23 del router: /ip firewall dst-nat add protocol=tcp dst-address= /32:2323 action=redirect to-dst-port=23 O, haga NAT al puerto interno (23) del server: O, haga NAT al puerto interno (23) del server: /ip firewall dst-nat add protocol=tcp dst-address= /32:2323 action=nat to-dst-port=23 to-dst-address=

49 © Index 2005 Laboratorio de DST-NAT Configura tu ruteador para trasladar paquetes con destino la ip publica y puerto 81 hacia la dirección interna y puerto 80 del servidor local Configura tu ruteador para trasladar paquetes con destino la ip publica y puerto 81 hacia la dirección interna y puerto 80 del servidor local use el diagrama como guía use el diagrama como guía

50 © Index 2005 Mas acerca de DST-NAT DST-NAT permite mandar datos a algún servidor a otro servidor y puerto. DST-NAT permite mandar datos a algún servidor a otro servidor y puerto. DST-NAT permite esconder varios servidores detrás de una dirección IP. Los servidores son seleccionados por puerto, o por algún otro parámetro, como origen del paquete, etc. DST-NAT permite esconder varios servidores detrás de una dirección IP. Los servidores son seleccionados por puerto, o por algún otro parámetro, como origen del paquete, etc.

51 © Index 2005 Reparando Firewall Mire los contadores de paquetes y bytes para las reglas de firewall Mire los contadores de paquetes y bytes para las reglas de firewall Mueva las reglas para que se ejecuten en el orden correcto Mueva las reglas para que se ejecuten en el orden correcto Loguee los paquetes para ver que protocolo, direcciones y puerto tienen. Loguee los paquetes para ver que protocolo, direcciones y puerto tienen.


Descargar ppt "© Index 2005 RouterOS Introducción al sistema operativo RouterOS Mikrotik."

Presentaciones similares


Anuncios Google