22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.

com

Accede o regístrate

Portal Foros Manuales Tienda Área de Clientes

Buscar Mensajes recientes

Portal Foros MikroTik Guías y Manuales Manuales Ryohnosuke

Evitar Ataque a MikroTik Webproxy y DNS cache
1 2 3 4 Siguiente >

Bueno, ya muchos sabrán que MikroTik dispone de un Web Proxy server y un DNS
Cache, pero muchas veces al momento de configurarlo no solemos cololocar las
reglas necesarias para bloquear el acceso a estos recursos desde internet. 

Muchos ser harán esta pregunta ¿Que podría pasar si no bloqueo el acceso a estos
servicios desde internet? 

ryohnosuke La respuesta no es muy complicada. Si el servicio está abierto, por ejemplo el
MikroTik Support Guy webproxy, cualquier tipo de spyware, malware o virus en general, podría informar
Administrador esta falla de seguridad en nuestro servidor y aprovecharse de nosotros haciendo
Me Gusta recibidos: 636
peticiones desde nuestro web proxy a internet, obviamente nos está consumiendo
nuestra propia línea, y con más énfasis, nuestro escaso upload. 

Cuando esto ocurre, se siente una extraña lentitud, y un uso bastante
desproporcionado del upload del WAN respecto al upload de la interfaz de los
clientes. Si se llega a abrir google para hacer una búsqueda, este te devolverá un
mensaje con en esta imagen. 

Bueno, luego de tanto preámbulo, vamos al grano. 

Bloqueo webproxy externo: 

Insertar CODE, HTML o PHP:

/ip firewall filter add action=drop chain=input comment="Bloqueo webproxy e

Bloqueo DNS cache externo: 

Insertar CODE, HTML o PHP:

/ip firewall filter add action=drop chain=input comment="Bloqueo DNS cache 

Voy a desmantelar un poco la primera regla e intentaré explicarla para que se hagan
una idea de qué están copiando y pegando en sus servidores. 

http://www.ryohnosuke.com/foros/index.php?threads/61/ 1/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com

action=drop, "arroja" los paquetes, no serán procesados.
chain=input, utiliza la cadena input (conexiones y/o paqutes cuyo destino
final sean el mismo servidor).
in­interface=pppoe­out1, interfaz de entrada de las conexiones y/o
paquetes (que serán bloqueados por action=drop), en este caso es el pppoe­
out1. Se tiene que cambiar por la interfaz WAN que corresponda.
protocol=tcp, protocolo de transmisión, el más utilizando en internet junto
con en protocolo UDP.
dst­port=8080, puerto destino (que será bloqueado por action=drop), por
defecto de webproxy es el puerto 8080.

Saludos

ryohnosuke, 9 Dic 2010 #1

A lucc, rickylr y satpinamar les gusta esto.

Ohh exelente Ryo... 

No tenia estas reglas...  

Pregunta: 

No tiene que ver la posicion de estas reglas, se supone que si estan abajo de todas
haxen funciona igual verdad..? 
Member

Me Gusta recibidos: 1
Muchas gracias 

SALUDOS

haxen, 14 Feb 2011 #2

Funcionan sí, pero revisa que no tengas un accept en la cadena input, arriba de estas
que la puedan inutilizar... 

Saludos.

ryohnosuke
MikroTik Support Guy
ryohnosuke, 14 Feb 2011 #3
Administrador

Me Gusta recibidos: 636

mastes RYOHNOSUKE al gracias por pn er estas reglas pero al instalarlas me dan
este error [admin@MikroTik] > /ip firewall filter add action=drop chain=input
comment="Bloqueo webproxy externo" disabled=no dst­port=8080 in­
interface=pppoe­out1 protocol 
=tcp 
input does not match any value of interface 
http://www.ryohnosuke.com/foros/index.php?threads/61/ 2/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com

[admin@MikroTik] > /ip firewall filter add action=drop chain=input
comment="Bloqueo DNS cache externo" disabled=no dst­port=53 in­
interface=pppoe­out1 protocol= 
udp 
input does not match any value of interface 
[admin@MikroTik] >

leohacker leohacker, 28 Feb 2011 #4
Member

Me Gusta recibidos: 1

ryo para balanceador que pasa si tengo thunder como proxy

ingjaab
Active Member
ingjaab, 28 Feb 2011 #5
Me Gusta recibidos: 5

leohacker dijo: ↑

mastes RYOHNOSUKE al gracias por pn er estas reglas pero al instalarlas me dan este
error [admin@MikroTik] > /ip firewall filter add action=drop chain=input
comment="Bloqueo webproxy externo" disabled=no dst­port=8080 in­interface=pppoe­
out1 protocol 
=tcp 
input does not match any value of interface 
ryohnosuke [admin@MikroTik] > /ip firewall filter add action=drop chain=input comment="Bloqueo
MikroTik Support Guy DNS cache externo" disabled=no dst­port=53 in­interface=pppoe­out1 protocol= 
Administrador udp 
input does not match any value of interface 
Me Gusta recibidos: 636

Voy a citar lo que comento sobre el in­interface: 

in­interface=pppoe­out1, interfaz de entrada de las conexiones y/o paquetes (que serán
bloqueados por action=drop), en este caso es el pppoe­out1. Se tiene que cambiar
por la interfaz WAN que corresponda.

Así que si cambiaste tu interfaz WAN a otro nombre como Speedy, WAN1, Telefónica,
etc, etc. tienes que editar el código a lo tú tengas como WAN. 

ingjaab dijo:

ryo para balanceador que pasa si tengo thunder como proxy

http://www.ryohnosuke.com/foros/index.php?threads/61/ 3/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com

En tu caso, ya que lo tienes como proxy paralelo, hay que usar la cadena forward, ya
que el tráfico "traspasará" el router, luego agregar los puertos utilizados por el caché
de thunder, en mi instalación suelo usar el: 3128,8080,8081. 

Insertar CODE, HTML o PHP:

/ip firewall filter add action=drop chain=forward comment="Bloqueo webproxy

Saludos.

ryohnosuke, 28 Feb 2011 #6

ok donmde lo pongo en le balanceador (750) o rb (450g )

ingjaab
Active Member
ingjaab, 28 Feb 2011 #7
Me Gusta recibidos: 5

En realidad es donde gustes xD, pero si es en el balanceador, entonces es una regla
por línea. Si lo pones en el server administrador, una sola, claro. 

Saludos.

ryohnosuke
MikroTik Support Guy
ryohnosuke, 28 Feb 2011 #8
Administrador

Me Gusta recibidos: 636

doc y los evitar ataque a los dns como lo pongo saludos

ingjaab
Active Member
ingjaab, 28 Feb 2011 #9
Me Gusta recibidos: 5

http://www.ryohnosuke.com/foros/index.php?threads/61/ 4/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com

En ese caso ya no hay nada que modificar ya que el DNS Caché lo sigue haciendo
MikroTik, si lo quieres en tu balanceador, entonces es una regla por línea, en el
administrador, pues una sola.  

Saludos.

ryohnosuke
MikroTik Support Guy
ryohnosuke, 28 Feb 2011 #10
Administrador

Me Gusta recibidos: 636

Ryo si tengo 3 conexiones adsl pppoe­out (modem britch) tengo que realizara la
regla para cada conexion????.. gracias pro la respuesta

pelinho
New Member
pelinho, 15 Mar 2011 #11
Me Gusta recibidos: 0

pelinho dijo: ↑

Ryo si tengo 3 conexiones adsl pppoe­out (modem britch) tengo que realizara la regla
para cada conexion????.. gracias pro la respuesta

asi es cada regla por interface

ingjaab
Active Member
ingjaab, 15 Mar 2011 #12
Me Gusta recibidos: 5

ryo tengo duda sobre la cadena que debo usar en mi caso, si input o forward, cuando
use fordward no me marco nada en input si no estoy seguro como es. mi topologia
es : 

telefonica­­­­­­thunder (en modo puente)­­­­­­­mikrotik­­­­­­­­clientes 

saludos 
WAros  
Member

Me Gusta recibidos: 7 en el momento estoy utilizando la cadena input y dropea resto de paquetes; igual me
aclaras plz 

olle sera que por tener esta deficiencia era que se me subian los pines

http://www.ryohnosuke.com/foros/index.php?threads/61/ 5/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com
WAros, 1 May 2011 #13

Qué es en modo puente? xD Conozco parent, parallel, y serial (2 tarjetas de red,
WAN y LAN). 

En todo caso, si no utilizas el webproxy de MikroTik, deshabilítalo desde webproxy
settings. 

Saludos.
ryohnosuke
MikroTik Support Guy
ryohnosuke, 1 May 2011 #14
Administrador

Me Gusta recibidos: 636

a lo que me refiero es que tengo el thunder antes que el mikrotik bridgeado osea
modo puente XD, pero según lo que me das a entender no tiene nada que ver cierto,
si esoty usando el web proxy de mikrotik segun esto lo toy haciendo bien con input,
veo que me mejoro el rendimiento hasta le momento 

saludos

WAros
Member
WAros, 1 May 2011 #15
Me Gusta recibidos: 7

Si bloqueas input, entonce estás protegiendo al webproxy de MikroTik sí o sí.  

Saludos

ryohnosuke
MikroTik Support Guy
ryohnosuke, 1 May 2011 #16
Administrador

Me Gusta recibidos: 636

si vale asias por la aclaración 

saludos

WAros
Member
WAros, 1 May 2011 #17
Me Gusta recibidos: 7

http://www.ryohnosuke.com/foros/index.php?threads/61/ 6/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com

Una pregunta, esto evita que los virus de los clientes no ataquen al web proxy cache
para que no colapce?,no limita la velocidad de la navegacion verdad?

JuanP
New Member
JuanP, 1 May 2011 #18
Me Gusta recibidos: 0

Eso evita que que no accedan al webproxy desde internet, muchas veces un virus
informa al un servidor x que hay un webproxy desprotegido, y lo empiezan a usar de
proxy público; o sea, evita el ataque desde el exterior. 

Saludos.

ryohnosuke
MikroTik Support Guy
ryohnosuke, 3 May 2011 #19
Administrador

Me Gusta recibidos: 636

Disculpa Ryohnosuke, es así como debe de quedar la configuración. 

http://img31.imageshack.us/img31/6500/sinttulopk.png 

Gracias por tu respuesta. 
exelentes Post.

llwarningll
New Member
llwarningll, 20 Jun 2011 #20
Me Gusta recibidos: 0

1 2 3 4 Siguiente > (Debes acceder o registrarte para responder aquí.)

Compartir esta página

Portal Foros MikroTik Guías y Manuales Manuales Ryohnosuke

Español (ES) Contactarnos Ayuda

Forum software by XenForo™ ©2010­2017 XenForo Ltd. Términos y reglas

http://www.ryohnosuke.com/foros/index.php?threads/61/ 7/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com

http://www.ryohnosuke.com/foros/index.php?threads/61/ 8/8