Академический Документы
Профессиональный Документы
Культура Документы
com
Accede o regístrate
Buscar Mensajes recientes
Evitar Ataque a MikroTik Webproxy y DNS cache
1 2 3 4 Siguiente >
Bueno, ya muchos sabrán que MikroTik dispone de un Web Proxy server y un DNS
Cache, pero muchas veces al momento de configurarlo no solemos cololocar las
reglas necesarias para bloquear el acceso a estos recursos desde internet.
Muchos ser harán esta pregunta ¿Que podría pasar si no bloqueo el acceso a estos
servicios desde internet?
ryohnosuke La respuesta no es muy complicada. Si el servicio está abierto, por ejemplo el
MikroTik Support Guy webproxy, cualquier tipo de spyware, malware o virus en general, podría informar
Administrador esta falla de seguridad en nuestro servidor y aprovecharse de nosotros haciendo
Me Gusta recibidos: 636
peticiones desde nuestro web proxy a internet, obviamente nos está consumiendo
nuestra propia línea, y con más énfasis, nuestro escaso upload.
Cuando esto ocurre, se siente una extraña lentitud, y un uso bastante
desproporcionado del upload del WAN respecto al upload de la interfaz de los
clientes. Si se llega a abrir google para hacer una búsqueda, este te devolverá un
mensaje con en esta imagen.
Bueno, luego de tanto preámbulo, vamos al grano.
Bloqueo webproxy externo:
Insertar CODE, HTML o PHP:
/ip firewall filter add action=drop chain=input comment="Bloqueo webproxy e
Bloqueo DNS cache externo:
Insertar CODE, HTML o PHP:
/ip firewall filter add action=drop chain=input comment="Bloqueo DNS cache
Voy a desmantelar un poco la primera regla e intentaré explicarla para que se hagan
una idea de qué están copiando y pegando en sus servidores.
http://www.ryohnosuke.com/foros/index.php?threads/61/ 1/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com
action=drop, "arroja" los paquetes, no serán procesados.
chain=input, utiliza la cadena input (conexiones y/o paqutes cuyo destino
final sean el mismo servidor).
ininterface=pppoeout1, interfaz de entrada de las conexiones y/o
paquetes (que serán bloqueados por action=drop), en este caso es el pppoe
out1. Se tiene que cambiar por la interfaz WAN que corresponda.
protocol=tcp, protocolo de transmisión, el más utilizando en internet junto
con en protocolo UDP.
dstport=8080, puerto destino (que será bloqueado por action=drop), por
defecto de webproxy es el puerto 8080.
Saludos
ryohnosuke, 9 Dic 2010 #1
A lucc, rickylr y satpinamar les gusta esto.
Ohh exelente Ryo...
No tenia estas reglas...
Pregunta:
No tiene que ver la posicion de estas reglas, se supone que si estan abajo de todas
haxen funciona igual verdad..?
Member
Me Gusta recibidos: 1
Muchas gracias
SALUDOS
haxen, 14 Feb 2011 #2
Funcionan sí, pero revisa que no tengas un accept en la cadena input, arriba de estas
que la puedan inutilizar...
Saludos.
ryohnosuke
MikroTik Support Guy
ryohnosuke, 14 Feb 2011 #3
Administrador
Me Gusta recibidos: 636
mastes RYOHNOSUKE al gracias por pn er estas reglas pero al instalarlas me dan
este error [admin@MikroTik] > /ip firewall filter add action=drop chain=input
comment="Bloqueo webproxy externo" disabled=no dstport=8080 in
interface=pppoeout1 protocol
=tcp
input does not match any value of interface
http://www.ryohnosuke.com/foros/index.php?threads/61/ 2/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com
[admin@MikroTik] > /ip firewall filter add action=drop chain=input
comment="Bloqueo DNS cache externo" disabled=no dstport=53 in
interface=pppoeout1 protocol=
udp
input does not match any value of interface
[admin@MikroTik] >
leohacker leohacker, 28 Feb 2011 #4
Member
Me Gusta recibidos: 1
ryo para balanceador que pasa si tengo thunder como proxy
ingjaab
Active Member
ingjaab, 28 Feb 2011 #5
Me Gusta recibidos: 5
leohacker dijo: ↑
mastes RYOHNOSUKE al gracias por pn er estas reglas pero al instalarlas me dan este
error [admin@MikroTik] > /ip firewall filter add action=drop chain=input
comment="Bloqueo webproxy externo" disabled=no dstport=8080 ininterface=pppoe
out1 protocol
=tcp
input does not match any value of interface
ryohnosuke [admin@MikroTik] > /ip firewall filter add action=drop chain=input comment="Bloqueo
MikroTik Support Guy DNS cache externo" disabled=no dstport=53 ininterface=pppoeout1 protocol=
Administrador udp
input does not match any value of interface
Me Gusta recibidos: 636
Voy a citar lo que comento sobre el ininterface:
ininterface=pppoeout1, interfaz de entrada de las conexiones y/o paquetes (que serán
bloqueados por action=drop), en este caso es el pppoeout1. Se tiene que cambiar
por la interfaz WAN que corresponda.
Así que si cambiaste tu interfaz WAN a otro nombre como Speedy, WAN1, Telefónica,
etc, etc. tienes que editar el código a lo tú tengas como WAN.
ingjaab dijo:
ryo para balanceador que pasa si tengo thunder como proxy
http://www.ryohnosuke.com/foros/index.php?threads/61/ 3/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com
En tu caso, ya que lo tienes como proxy paralelo, hay que usar la cadena forward, ya
que el tráfico "traspasará" el router, luego agregar los puertos utilizados por el caché
de thunder, en mi instalación suelo usar el: 3128,8080,8081.
Insertar CODE, HTML o PHP:
/ip firewall filter add action=drop chain=forward comment="Bloqueo webproxy
Saludos.
ryohnosuke, 28 Feb 2011 #6
ok donmde lo pongo en le balanceador (750) o rb (450g )
ingjaab
Active Member
ingjaab, 28 Feb 2011 #7
Me Gusta recibidos: 5
En realidad es donde gustes xD, pero si es en el balanceador, entonces es una regla
por línea. Si lo pones en el server administrador, una sola, claro.
Saludos.
ryohnosuke
MikroTik Support Guy
ryohnosuke, 28 Feb 2011 #8
Administrador
Me Gusta recibidos: 636
doc y los evitar ataque a los dns como lo pongo saludos
ingjaab
Active Member
ingjaab, 28 Feb 2011 #9
Me Gusta recibidos: 5
http://www.ryohnosuke.com/foros/index.php?threads/61/ 4/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com
En ese caso ya no hay nada que modificar ya que el DNS Caché lo sigue haciendo
MikroTik, si lo quieres en tu balanceador, entonces es una regla por línea, en el
administrador, pues una sola.
Saludos.
ryohnosuke
MikroTik Support Guy
ryohnosuke, 28 Feb 2011 #10
Administrador
Me Gusta recibidos: 636
Ryo si tengo 3 conexiones adsl pppoeout (modem britch) tengo que realizara la
regla para cada conexion????.. gracias pro la respuesta
pelinho
New Member
pelinho, 15 Mar 2011 #11
Me Gusta recibidos: 0
pelinho dijo: ↑
Ryo si tengo 3 conexiones adsl pppoeout (modem britch) tengo que realizara la regla
para cada conexion????.. gracias pro la respuesta
asi es cada regla por interface
ingjaab
Active Member
ingjaab, 15 Mar 2011 #12
Me Gusta recibidos: 5
ryo tengo duda sobre la cadena que debo usar en mi caso, si input o forward, cuando
use fordward no me marco nada en input si no estoy seguro como es. mi topologia
es :
telefonicathunder (en modo puente)mikrotikclientes
saludos
WAros
Member
Me Gusta recibidos: 7 en el momento estoy utilizando la cadena input y dropea resto de paquetes; igual me
aclaras plz
olle sera que por tener esta deficiencia era que se me subian los pines
http://www.ryohnosuke.com/foros/index.php?threads/61/ 5/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com
WAros, 1 May 2011 #13
Qué es en modo puente? xD Conozco parent, parallel, y serial (2 tarjetas de red,
WAN y LAN).
En todo caso, si no utilizas el webproxy de MikroTik, deshabilítalo desde webproxy
settings.
Saludos.
ryohnosuke
MikroTik Support Guy
ryohnosuke, 1 May 2011 #14
Administrador
Me Gusta recibidos: 636
a lo que me refiero es que tengo el thunder antes que el mikrotik bridgeado osea
modo puente XD, pero según lo que me das a entender no tiene nada que ver cierto,
si esoty usando el web proxy de mikrotik segun esto lo toy haciendo bien con input,
veo que me mejoro el rendimiento hasta le momento
saludos
WAros
Member
WAros, 1 May 2011 #15
Me Gusta recibidos: 7
Si bloqueas input, entonce estás protegiendo al webproxy de MikroTik sí o sí.
Saludos
ryohnosuke
MikroTik Support Guy
ryohnosuke, 1 May 2011 #16
Administrador
Me Gusta recibidos: 636
si vale asias por la aclaración
saludos
WAros
Member
WAros, 1 May 2011 #17
Me Gusta recibidos: 7
http://www.ryohnosuke.com/foros/index.php?threads/61/ 6/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com
Una pregunta, esto evita que los virus de los clientes no ataquen al web proxy cache
para que no colapce?,no limita la velocidad de la navegacion verdad?
JuanP
New Member
JuanP, 1 May 2011 #18
Me Gusta recibidos: 0
Eso evita que que no accedan al webproxy desde internet, muchas veces un virus
informa al un servidor x que hay un webproxy desprotegido, y lo empiezan a usar de
proxy público; o sea, evita el ataque desde el exterior.
Saludos.
ryohnosuke
MikroTik Support Guy
ryohnosuke, 3 May 2011 #19
Administrador
Me Gusta recibidos: 636
Disculpa Ryohnosuke, es así como debe de quedar la configuración.
http://img31.imageshack.us/img31/6500/sinttulopk.png
Gracias por tu respuesta.
exelentes Post.
llwarningll
New Member
llwarningll, 20 Jun 2011 #20
Me Gusta recibidos: 0
1 2 3 4 Siguiente > (Debes acceder o registrarte para responder aquí.)
Compartir esta página
Forum software by XenForo™ ©20102017 XenForo Ltd. Términos y reglas
http://www.ryohnosuke.com/foros/index.php?threads/61/ 7/8
22/8/2017 Evitar Ataque a MikroTik Webproxy y DNS cache | Comunidad ryohnosuke.com
http://www.ryohnosuke.com/foros/index.php?threads/61/ 8/8