Index 2005 Index 2005

RouterOS
RouterOS
Introduccin al sistema operativo
Introduccin al sistema operativo
RouterOS Mikrotik
RouterOS Mikrotik
Index 2005
Que es el RouterOS?
Que es el RouterOS?

El RouterOS es un sistema operativo so!t"are

El RouterOS es un sistema operativo so!t"are
#ue convierte a una $% en un ruteador
#ue convierte a una $% en un ruteador
dedicado& 'rid(e& !ire"all& controlador de anc)o
dedicado& 'rid(e& !ire"all& controlador de anc)o
de 'anda& punto de acceso inal*m'rico o cliente
de 'anda& punto de acceso inal*m'rico o cliente
muc)o mas+
muc)o mas+

El RouterOS puede )acer casi cual#uier cosa

El RouterOS puede )acer casi cual#uier cosa
#ue ten(a #ue ver con tus necesidades de red&
#ue ten(a #ue ver con tus necesidades de red&
adem*s de cierta !uncionalidad como servidor,
adem*s de cierta !uncionalidad como servidor,
Index 2005
Estructura del RouterOS
Estructura del RouterOS

-asado en kernel de .inux -asado en kernel de .inux, ,

$uede e/ecutarse desde $uede e/ecutarse desde

discos I0E o mdulos de discos I0E o mdulos de
memoria !las) memoria !las), ,

0ise1o modular 0ise1o modular, ,

Mdulos actuali2a'les Mdulos actuali2a'les, ,

Inter!ase (ra!ica ami(a'le Inter!ase (ra!ica ami(a'le, ,

Index 2005
.icenciamiento
.icenciamiento

.a .icencia es por instalacin

.a .icencia es por instalacin
,
,

3l(unas !uncionalidades re#uieren de cierto

3l(unas !uncionalidades re#uieren de cierto
nivel de licenciamiento
nivel de licenciamiento
,
,

.a .icencia nunca expira & esto si(ni!ica #ue el

.a .icencia nunca expira & esto si(ni!ica #ue el
r
r
uteador
uteador
!uncionara 4de por vida5
!uncionara 4de por vida5
,
,

E. ruteador puede ser actuali2ado durante el

E. ruteador puede ser actuali2ado durante el
periodo de actuali2acin 67 a1o despu8s de la
periodo de actuali2acin 67 a1o despu8s de la
compra de la licencia9
compra de la licencia9
,
,

El periodo de actuali2acin puede ser extendido

El periodo de actuali2acin puede ser extendido
a un :0; del costo de la licencia
a un :0; del costo de la licencia
,
,
Index 2005
<iveles de .icenciamiento
<iveles de .icenciamiento

<ivel 0= 0EMO& >R3?IS& tiene todas las

<ivel 0= 0EMO& >R3?IS& tiene todas las
!uncionalidades sin limite& !unciona solo 2@ )rs&
!uncionalidades sin limite& !unciona solo 2@ )rs&
despu8s de ello de'e de ser REI<S?3.30O
despu8s de ello de'e de ser REI<S?3.30O

<ivel 7= .icencia SOAO& >R3?IS& pero re#uiere

<ivel 7= .icencia SOAO& >R3?IS& pero re#uiere
re(istrarse en
re(istrarse en
""",mikrotik,com
""",mikrotik,com
& tiene
& tiene
limitaciones& 67srcBnat& 7dstBnat& 7 pppoe& +9
limitaciones& 67srcBnat& 7dstBnat& 7 pppoe& +9
Index 2005
<iveles de .icenciamiento& cont,
<iveles de .icenciamiento& cont,

<ivel @= CIS$& cliente inal*m'rico&

<ivel @= CIS$& cliente inal*m'rico&
$unto de
$unto de
3cceso
3cceso
Inal*m'rico& (ate"a de AotSpot,
Inal*m'rico& (ate"a de AotSpot,

<ivel 5= CIS$ 3$& 3ccess $oint inal*m'rico

<ivel 5= CIS$ 3$& 3ccess $oint inal*m'rico
cliente& >ate"a de AotSpot 6mas conexiones
cliente& >ate"a de AotSpot 6mas conexiones
soportadas9
soportadas9

<ivel
<ivel
:= %O<?RO..ER& ?odo sin limiteD
:= %O<?RO..ER& ?odo sin limiteD

<ota= Ena .icencia 'asta para cual#uier numero

<ota= Ena .icencia 'asta para cual#uier numero
de inter!aces inal*m'ricas en el ruteador,
de inter!aces inal*m'ricas en el ruteador,
Index 2005
%aracterFsticas de RouterOS
%aracterFsticas de RouterOS

Ruteo, Est*tico o din*mico& polFticas de

Ruteo, Est*tico o din*mico& polFticas de
enrutamiento,
enrutamiento,

-rid(in(, $rotocolo Spannin( tree& inter!aces

-rid(in(, $rotocolo Spannin( tree& inter!aces
mGltiples 'rid(e& !ire"all en el 'rid(e
mGltiples 'rid(e& !ire"all en el 'rid(e

Servidores clientes= 0A%$& $$$oE& $$?$&

Servidores clientes= 0A%$& $$$oE& $$?$&
$$$& Rela de 0A%$,
$$$& Rela de 0A%$,

%ac)e= Ce'Bprox& 0<S

%ac)e= Ce'Bprox& 0<S

>ate"a de AotSpot
>ate"a de AotSpot

.en(ua/e interno de scripts

.en(ua/e interno de scripts
Index 2005
%aracterFsticas del RouterOS
%aracterFsticas del RouterOS

Hiltrado de pa#uetes por

Hiltrado de pa#uetes por

Ori(en& I$ de destino Ori(en& I$ de destino

$rotocolos& puertos $rotocolos& puertos

%ontenidos 6 %ontenidos 6se(uimiento se(uimiento de conexiones de conexiones $2$ $2$9 9

$uede detectar ata#ues de dene(acin de

$uede detectar ata#ues de dene(acin de
servicio 60oS9
servicio 60oS9

$ermite solamente cierto numero de pa#uetes por $ermite solamente cierto numero de pa#uetes por
periodo de tiempo periodo de tiempo

Que pasa ense(uida si el limite es des'ordado o Que pasa ense(uida si el limite es des'ordado o
so'repasado so'repasado
Index 2005
%alidad de Servicio 6QoS9
%alidad de Servicio 6QoS9

Iarios tipos de tipos de #ueue=

Iarios tipos de tipos de #ueue=

RE0& -HIHO& $HIHO& $%Q

RE0& -HIHO& $HIHO& $%Q

Sencillo de aplicar #ueues simples=

Sencillo de aplicar #ueues simples=

$or ori(enJdestino redJdireccin ip de cliente&

$or ori(enJdestino redJdireccin ip de cliente&
inter!ase
inter!ase

Kr'oles de #ueues mas comple/os=

Kr'oles de #ueues mas comple/os=

$or protocolo& puerto& tipo de conexin

$or protocolo& puerto& tipo de conexin
,
,
Index 2005
Inter!aces del RouterOS
Inter!aces del RouterOS

Et)ernet 70J700& >i(a'it

Et)ernet 70J700& >i(a'it

Inal*m'rica 63t)eros& $rism& %IS%OJ3ironet9

Inal*m'rica 63t)eros& $rism& %IS%OJ3ironet9

$unto de acceso o modo estacinJcliente $unto de acceso o modo estacinJcliente& C0S & C0S

S
S
F
F
ncronas= IL5& ?7& Hrame Rela
ncronas= IL5& ?7& Hrame Rela

3sFncronas= On'oard serial& MBport $%I

3sFncronas= On'oard serial& MBport $%I

IS0<
IS0<

x0S.
x0S.

Iirtual .3< 6I.3<9

Iirtual .3< 6I.3<9
Index 2005
%omo acceder al Router
%omo acceder al Router

.os
.os
ruteadores
ruteadores
Mikro?ik pueden ser
Mikro?ik pueden ser
accedidos vFa
accedidos vFa
=
=

Monitor teclado
Monitor teclado

?erminal Serial
?erminal Serial

?elnet
?elnet

?elnet de M3%
?elnet de M3%

SSA
SSA

Inter!ase (ra!ica Cin-ox

Inter!ase (ra!ica Cin-ox
Index 2005
Aerramientas de mane/o de red
Aerramientas de mane/o de red

RouterOS o!rece un 'uen

RouterOS o!rece un 'uen
numero de )erramientas =
numero de )erramientas =

$in(& traceroute $in(& traceroute

Medidor de anc)o de 'anda Medidor de anc)o de 'anda

%onta'ili2acin de tra!ico %onta'ili2acin de tra!ico

S<M$ S<M$

?orc) ?orc)

Sni!!er de $a#uetes Sni!!er de $a#uetes

Index 2005
Inter!ace %.I
Inter!ace %.I

.a primera ve2 #ue se entra use NadminO sin

.a primera ve2 #ue se entra use NadminO sin
pass"ord,
pass"ord,

Ena ve2 dentro teclee N?O para ver los comandos

Ena ve2 dentro teclee N?O para ver los comandos
disponi'les en este nivel de menG
disponi'les en este nivel de menG

PMikro?ikQ R ? PMikro?ikQ R ?

PMikro?ikQ R inter!ace ? PMikro?ikQ R inter!ace ?

PMikro?ikQ R PMikro?ikQ R

3r(umentos disponi'les para cada comando se

3r(umentos disponi'les para cada comando se
o'tienen de la misma manera= N?O
o'tienen de la misma manera= N?O
Index 2005
<ave(acin vFa menGs %.I
<ave(acin vFa menGs %.I

Iaa a un nivel di!erente de comandos

Iaa a un nivel di!erente de comandos
usando sintaxis a'soluta o relativa=
usando sintaxis a'soluta o relativa=

PMikro?ikQ R inter!ace SEnterT

PMikro?ikQ R inter!ace SEnterT

PMikro?ikQ inter!ace R "ireless SEnterT

PMikro?ikQ inter!ace R "ireless SEnterT

PMikro?ikQ inter!ace "ireless R ,, et) SEnterT

PMikro?ikQ inter!ace "ireless R ,, et) SEnterT

PMikro?ikQ inter!ace et)ernet R print SEnterT

PMikro?ikQ inter!ace et)ernet R print SEnterT
Index 2005
.3 tecla P?a'Q
.3 tecla P?a'Q

%omandos ar(umentos no necesitan ser

%omandos ar(umentos no necesitan ser
completamente tecleados& con teclear la
completamente tecleados& con teclear la
ta'la P?a'Q se completan,
ta'la P?a'Q se completan,

Si un simple P?a'Q no completa el

Si un simple P?a'Q no completa el
comando& presinelo 2 veces para ver las
comando& presinelo 2 veces para ver las
opciones disponi'les,
opciones disponi'les,
Index 2005
%omandos mas populares
%omandos mas populares

%omandos mas populares en RouterOS

%omandos mas populares en RouterOS
en los menGs %.I son=
en los menGs %.I son=

$rint export
$rint export

set edit
set edit

add J remove
add J remove

ena'le J disa'le
ena'le J disa'le

move
move

comment
comment

monitor
monitor
Index 2005
N
N
$rintO NMonitorO
$rintO NMonitorO

N
N
printO es uno de los mas usados en %.I,
printO es uno de los mas usados en %.I,
Imprime una lista de cosas puede ser usado
Imprime una lista de cosas puede ser usado
con di!erentes ar(umentos&e/emplo
con di!erentes ar(umentos&e/emplo

print status& print status&

print intervalU2s& print intervalU2s&

print "it)outBpa(in(& etc, print "it)outBpa(in(& etc,

Ese Nprint ?O para ver los ar(umentos disponi'les

Ese Nprint ?O para ver los ar(umentos disponi'les

N
N
monitorO usado repetidamente muestra el
monitorO usado repetidamente muestra el
estatus
estatus

N NJinter!ace "ireless monitor "lan7O Jinter!ace "ireless monitor "lan7O

Index 2005
+
+
%ont
%ont

Ese NaddO& NsetO& o NremoveO para adicionar&

Ese NaddO& NsetO& o NremoveO para adicionar&
cam'iar& o remover
cam'iar& o remover
re(las
re(las

Re(las
Re(las
pueden ser des)a'ilitados sin
pueden ser des)a'ilitados sin
removerlos& usando el comando
removerlos& usando el comando
Ndisa'ledO,
Ndisa'ledO,

3l(un
3l(un
a
a
s
s
re(las
re(las
pueden ser movid
pueden ser movid
a
a
s con el
s con el
comando NmoveO,
comando NmoveO,
Index 2005
Cin-ox >EI
Cin-ox >EI

Cin-ox es muc)o mas !*cil #ue el %.I& al ser

Cin-ox es muc)o mas !*cil #ue el %.I& al ser
una inter!ase (ra!ica,
una inter!ase (ra!ica,

"in'ox,exe es un pe#ue1o pro(rama #ue se

"in'ox,exe es un pe#ue1o pro(rama #ue se
e/ecuta desde una estacin de tra'a/o
e/ecuta desde una estacin de tra'a/o
conectada al ruteador,
conectada al ruteador,

"in'ox,exe corre 'a/o CI<E en .inux

"in'ox,exe corre 'a/o CI<E en .inux

Cin'ox usa el puerto ?%$ M2V7 para conectarse

Cin'ox usa el puerto ?%$ M2V7 para conectarse
al ruteador
al ruteador

%omunicacin entre el "in'ox el ruteador esta

%omunicacin entre el "in'ox el ruteador esta
encriptada
encriptada
Index 2005
Instalacin del
Instalacin del
ruteador
ruteador

Mikro?ik
Mikro?ik

El ruteador
El ruteador
Mikro?ik puede ser instalado
Mikro?ik puede ser instalado
usando=
usando=

Hlopp disks 6 Hlopp disks 6mu tedioso mu tedioso9 9

%0 creado desde una ima(en ISO& contiene todos los %0 creado desde una ima(en ISO& contiene todos los
pa#uetes, pa#uetes,

IFa red usando netinstall& la pc donde se instalar IFa red usando netinstall& la pc donde se instalar* *
de'e 'otear con un !lopp& o usando $rotocolos $WE de'e 'otear con un !lopp& o usando $rotocolos $WE
o Et)er-oot desde al(unas ROMS de ciertas tar/etas o Et)er-oot desde al(unas ROMS de ciertas tar/etas
de red, de red,

%on ima(en de 0isco %on ima(en de 0isco

%on Memoria Hlas)JI0E %on Memoria Hlas)JI0E

Index 2005
<etinstall
<etinstall

<etinstall es un pro(rama #ue convierte tu

<etinstall es un pro(rama #ue convierte tu
estacin de tra'a/o en un serv
estacin de tra'a/o en un serv
idor
idor
de
de
instalacin,
instalacin,

<etinstall usa los pa#uetes de pro(ramas desde

<etinstall usa los pa#uetes de pro(ramas desde
tu estacion de tra'a/o los instala en=
tu estacion de tra'a/o los instala en=

.a .a $% #ue 'oteo usando $WE or Et)er'oot $% #ue 'oteo usando $WE or Et)er'oot

El disco secundario de tu estacin de tra'a/o El disco secundario de tu estacin de tra'a/o

<etinstall,exe los pro(ramas de pa#uetes

<etinstall,exe los pro(ramas de pa#uetes
pueden ser 'a/ados desde mikrotik,com
pueden ser 'a/ados desde mikrotik,com
Index 2005
.a'oratorio de Instalacin
.a'oratorio de Instalacin

Aa'ilite el Router-oard para 'otar desde la red

Aa'ilite el Router-oard para 'otar desde la red

El Router-oard tu estacin de tra'a/o de'en estar El Router-oard tu estacin de tra'a/o de'en estar
en en el el mismo se(mento de red o conectados con un mismo se(mento de red o conectados con un
ca'le cru2ado ca'le cru2ado

E/ecute netinstall en tu estacin de tra'a/o

E/ecute netinstall en tu estacin de tra'a/o

Seleccione el ruteador donde se instalara Seleccione el ruteador donde se instalara

Seleccione los pa#uetes de pro(rama a instalar Seleccione los pa#uetes de pro(rama a instalar

Aa'ilite el -oot Server la direccin del cliente Aa'ilite el -oot Server la direccin del cliente
6poner direccion ip del mismo se(mento #ue ten(a la 6poner direccion ip del mismo se(mento #ue ten(a la
pc a instalarse pc a instalarse
Index 2005
%on!i(uracion de <etinstall
%on!i(uracion de <etinstall
Index 2005
3ctuali2ando el Router
3ctuali2ando el Router

$on(a los arc)ivos de las nuevas versiones en

$on(a los arc)ivos de las nuevas versiones en
el router por medio de H?$ usando modo 'inario
el router por medio de H?$ usando modo 'inario
de transmision reinicie el router 4Jsstem
de transmision reinicie el router 4Jsstem
re'oot5
re'oot5

3lternativamente puedes usar la instruccin

3lternativamente puedes usar la instruccin
4Jsstem up(rade5 para trans!erir los arc)ivos
4Jsstem up(rade5 para trans!erir los arc)ivos
desde un server H?$ o desde otro ruteador si
desde un server H?$ o desde otro ruteador si
los tienes a)F,
los tienes a)F,
Index 2005
%on!i(uracin -*sica
%on!i(uracin -*sica

Inter!aces de'en estar )a'ilitadas

Inter!aces de'en estar )a'ilitadas
!uncionando 6ca'les conectados& inter!ase
!uncionando 6ca'les conectados& inter!ase
inal*m'rica con!i(urada9
inal*m'rica con!i(urada9

0irecciones I$ asi(nadas a las inter!aces=

0irecciones I$ asi(nadas a las inter!aces=
PMikro?ikQ R Jip address X
PMikro?ikQ R Jip address X
add addressU70,7,0,2J2@ inter!aceUet)er7
add addressU70,7,0,2J2@ inter!aceUet)er7

3dicione la ruta de de!ault

3dicione la ruta de de!ault
PMikro?ikQ R Jip route X
PMikro?ikQ R Jip route X
add (ate"aU70,7,0,7
add (ate"aU70,7,0,7
Index 2005
%omando NSetupO
%omando NSetupO

Ese el comando NsetupO para la

Ese el comando NsetupO para la
con!i(uracin inicial
con!i(uracin inicial

3l(unos otros menGs tienen opcin de

3l(unos otros menGs tienen opcin de
setup& entre ellos=
setup& entre ellos=

AotSpot setup
AotSpot setup

0A%$ server setup

0A%$ server setup
Index 2005
Inter!ase 'rid(e
Inter!ase 'rid(e

Inter!aces -rid(e son anadidas con el comando=

Inter!aces -rid(e son anadidas con el comando=
PMikro?ikQ R Jinter!ace 'rid(e add PMikro?ikQ R Jinter!ace 'rid(e add

$uede )a'er mas de una inter!ase -rid(e

$uede )a'er mas de una inter!ase -rid(e

?u puedes
?u puedes

%am'iar el nom're de la inter!ase -rid(eY %am'iar el nom're de la inter!ase -rid(eY

Aa'ilitar el S?$ 6Spannin( ?ree $rotocol9 Aa'ilitar el S?$ 6Spannin( ?ree $rotocol9
con!i(urarlo con!i(urarlo

3ctivar los protocolos a pasar de un 'rid(e a otro, 3ctivar los protocolos a pasar de un 'rid(e a otro,
Index 2005
$uertos de -rid(e
$uertos de -rid(e

%ada Inter!ase %ada Inter!ase

puede ser puede ser
con!i(urada para ser con!i(urada para ser
miem'ro de un miem'ro de un
'rid(e 'rid(e

Inter!aces Inter!aces
inal*m'ricas en inal*m'ricas en
modo estacin no modo estacin no
pueden ser parte de pueden ser parte de
un 'rid(e, un 'rid(e,

$rioridad costo de $rioridad costo de

pat) pueden ser pat) pueden ser
a/ustadas para su a/ustadas para su
uso con S?$ uso con S?$
Index 2005
.a'oratorio de %on!i(uracin de
.a'oratorio de %on!i(uracin de
una Red $rivada
una Red $rivada

%onecta tu ruteador vFa ca'le cru2ado

%onecta tu ruteador vFa ca'le cru2ado

E/ecuta MacB?elnet para conectarte a el

E/ecuta MacB?elnet para conectarte a el

Remueve todas las direcciones de las

Remueve todas las direcciones de las
inter!a
inter!a
s
s
es
es

Selecciona una red privada para ti

Selecciona una red privada para ti

70+,& or 7V2,7:M+,& or 7Z2,7:+,

70+,& or 7V2,7:M+,& or 7Z2,7:+,

3si(na una direccin privada para la

3si(na una direccin privada para la
et)er7
et)er7
Index 2005
.a'oratorio de 0A%$
.a'oratorio de 0A%$

E/ecuta el setup Jip d)cpBserver setup

E/ecuta el setup Jip d)cpBserver setup

Esa las ips de tus ruteadores como

Esa las ips de tus ruteadores como
servidores 0<S en la con!i(uracin de
servidores 0<S en la con!i(uracin de
0A%$
0A%$

Iea si la estacin de tra'a/o reci'e una I$

Iea si la estacin de tra'a/o reci'e una I$

Iea las ips asi(nadas

Iea las ips asi(nadas

Jip d)cpBserver lease print

Jip d)cpBserver lease print
Index 2005
Estructura de !ire"all
Estructura de !ire"all
Index 2005
$rincipios del Hire"all
$rincipios del Hire"all

.as re(las de !ire"all est*n or(ani2adas en

.as re(las de !ire"all est*n or(ani2adas en
cadenas 6c)ains9
cadenas 6c)ains9

Re(las en cadenas son procesadas en el orden

Re(las en cadenas son procesadas en el orden
#ue aparecen
#ue aparecen

Si una re(la la cumple un pa#uete& la accion Si una re(la la cumple un pa#uete& la accion
especi!icada es tomada especi!icada es tomada

Si el pa#uete no cumple la re(la & o )a una Si el pa#uete no cumple la re(la & o )a una
accinUpasst)rou()& la si(uiente re(la es procesada accinUpasst)rou()& la si(uiente re(la es procesada

.a accin de de!ault para la cadena es )ec)a

.a accin de de!ault para la cadena es )ec)a
despu8s de )a'er alcan2ado el !in de la cadena
despu8s de )a'er alcan2ado el !in de la cadena
Index 2005
%adenas de Hire"all
%adenas de Hire"all

$or de!ault )a L cadenas incluidas=

$or de!ault )a L cadenas incluidas=

input [ procesa pa#uetes #ue tienen como destino el input [ procesa pa#uetes #ue tienen como destino el
ruteador ruteador

output [ procesa pa#uetes #ue son mandados por el output [ procesa pa#uetes #ue son mandados por el
mismo ruteador mismo ruteador

!or"ard [ procesa tra!ico #ue NpasaO a !or"ard [ procesa tra!ico #ue NpasaO a trav8s trav8s del del
ruteador ruteador

.os usuarios pueden a1adir sus propias

.os usuarios pueden a1adir sus propias
cadenas de !ire"all re(las a ellas
cadenas de !ire"all re(las a ellas

Re(las en las cadenas a1adidas por el usuario

Re(las en las cadenas a1adidas por el usuario
pueden ser procesadas usando la opcinU/ump
pueden ser procesadas usando la opcinU/ump
desde la cadena del usuario a otra re(la en otra
desde la cadena del usuario a otra re(la en otra
cadena
cadena
Index 2005
3cciones de las re(las de
3cciones de las re(las de
Hire"all
Hire"all

Si una re(la de !ire"all se cumple para un

Si una re(la de !ire"all se cumple para un
pa#uete& una de las si(uientes acciones puede
pa#uete& una de las si(uientes acciones puede
)acerse=
)acerse=

passt)rou() [ action es e/ecutada la si(uiente re(la passt)rou() [ action es e/ecutada la si(uiente re(la
es procesada es procesada

accept [ pa#uete es aceptado accept [ pa#uete es aceptado

drop [ pa#uete es i(norado drop [ pa#uete es i(norado

re/ect [ pa#uete es i(norado se le manda un re/ect [ pa#uete es i(norado se le manda un

mensa/e I%M$ al #ue lo mando mensa/e I%M$ al #ue lo mando

/ump [ pa#uete es mandado para su procesamiento /ump [ pa#uete es mandado para su procesamiento
a otra cadena a otra cadena

return [ pa#uete es retornado a la ta'la previa & return [ pa#uete es retornado a la ta'la previa &
desde donde !ue reci'ido desde donde !ue reci'ido
Index 2005
$rote(iendo el ruteador
$rote(iendo el ruteador

El acceso al router es controlado por las

El acceso al router es controlado por las
re(las de !iltrado de la cadena input,
re(las de !iltrado de la cadena input,

<ota& .os !iltros de I$ no !iltran

<ota& .os !iltros de I$ no !iltran
comunicaciones de nivel 2 OSI& por
comunicaciones de nivel 2 OSI& por
e/emplo M3% ?elnet
e/emplo M3% ?elnet

0es)a'ilite el M3%BServer al menos en la

0es)a'ilite el M3%BServer al menos en la
inter!ase pu'lica para ase(urar 'uena
inter!ase pu'lica para ase(urar 'uena
se(uridad,
se(uridad,
Index 2005
%adena Input
%adena Input

Aa(a re(las en esta cadena como estas=

Aa(a re(las en esta cadena como estas=

$ermitir 4esta'lis)ed5 4related5 connections

$ermitir 4esta'lis)ed5 4related5 connections

$ermitir E0$
$ermitir E0$

$ermitir pin(s limitados& )acer drop de

$ermitir pin(s limitados& )acer drop de
exceso de pin(s
exceso de pin(s

$ermitir acceso de redes 4se(uras5

$ermitir acceso de redes 4se(uras5

$ermitir acceso via $$?$ I$<

$ermitir acceso via $$?$ I$<

0rop lo( todo lo demas

0rop lo( todo lo demas
Index 2005
E/emplo de cadena Input
E/emplo de cadena Input
Jip !ire"all rule input Jip !ire"all rule input
add connectionBstateUesta'lis)ed commentU\Esta'lis)ed connections\ add connectionBstateUesta'lis)ed commentU\Esta'lis)ed connections\
add connectionBstateUrelated commentU\Related connections\ add connectionBstateUrelated commentU\Related connections\
add protocolUudp commentU43llo" E0$\ add protocolUudp commentU43llo" E0$\
add protocolUicmp limitBcountU50 limitBtimeU5s limitB'urstU2 X add protocolUicmp limitBcountU50 limitBtimeU5s limitB'urstU2 X
commentU\3llo" limited pin(s\ commentU\3llo" limited pin(s\
add protocolUicmp actionUdrop X add protocolUicmp actionUdrop X
commentU\0rop excess pin(s\ commentU\0rop excess pin(s\
add srcBaddrU75V,7@M,7@Z,7V2J2M commentU\Hrom trusted net"ork4 add srcBaddrU75V,7@M,7@Z,7V2J2M commentU\Hrom trusted net"ork4
add srcBaddrU7V2,7:M,7,0J2@ commentU\Hrom our private net"ork\ add srcBaddrU7V2,7:M,7,0J2@ commentU\Hrom our private net"ork\
add protocolUtcp tcpBoptionsUsnBonl dstBportU7Z2L X add protocolUtcp tcpBoptionsUsnBonl dstBportU7Z2L X
commentU\3llo" $$?$\ commentU\3llo" $$?$\
add protocolU@Z commentU\3llo" $$?$\ add protocolU@Z commentU\3llo" $$?$\
add actionUdrop lo(Ues commentU\.o( and drop evert)in( else\ add actionUdrop lo(Ues commentU\.o( and drop evert)in( else\
Index 2005
E/emplo de cadena de!inida por
E/emplo de cadena de!inida por
el usuario
el usuario
Jip !ire"all rule virus
Jip !ire"all rule virus
add protocolUtcp dstBportU7L5B7LV actionUdrop
add protocolUtcp dstBportU7L5B7LV actionUdrop
commentU\0rop -laster Corm\
commentU\0rop -laster Corm\
add protocolUudp dstBportU7L5B7LV actionUdrop
add protocolUudp dstBportU7L5B7LV actionUdrop
commentU\0rop Messen(er Corm\
commentU\0rop Messen(er Corm\
add protocolUtcp dstBportU@@5 actionUdrop
add protocolUtcp dstBportU@@5 actionUdrop
commentU\0rop -laster Corm\
commentU\0rop -laster Corm\
add protocolUudp dstBportU@@5 actionUdrop
add protocolUudp dstBportU@@5 actionUdrop
commentU\0rop -laster Corm\
commentU\0rop -laster Corm\
Index 2005
Hiltrado de virus conocidos
Hiltrado de virus conocidos

$a#uetes iniciados por virus conocidos& pueden ser $a#uetes iniciados por virus conocidos& pueden ser
!iltrados por re(las en al(una cadena de!inida por el !iltrados por re(las en al(una cadena de!inida por el
usuario= usuario=
Jip !ire"all rule virus Jip !ire"all rule virus
add protocolUtcp dstBportU7L5B7LV actionUdrop X add protocolUtcp dstBportU7L5B7LV actionUdrop X
commentU\0rop -laster Corm\ commentU\0rop -laster Corm\
add protocolUudp dstBportU7L5B7LV actionUdrop X add protocolUudp dstBportU7L5B7LV actionUdrop X
commentU\0rop Messen(er Corm\ commentU\0rop Messen(er Corm\
add protocolUtcp dstBportU@@5 actionUdrop X add protocolUtcp dstBportU@@5 actionUdrop X
commentU\0rop -laster Corm\ commentU\0rop -laster Corm\
add protocolUudp dstBportU@@5 actionUdrop X add protocolUudp dstBportU@@5 actionUdrop X
commentU\0rop -laster Corm4 commentU\0rop -laster Corm4
add protocolUtcp dstBportU@@@@ actionUdrop commentU\Corm\ add protocolUtcp dstBportU@@@@ actionUdrop commentU\Corm\
add protocolUtcp dstBportU72L@5 actionUdrop commentU\<et-us\ add protocolUtcp dstBportU72L@5 actionUdrop commentU\<et-us\
Index 2005
]ump a la cadena de!inida por
]ump a la cadena de!inida por
el usuario
el usuario

]ump a la cadena de!inida por el usuario desde

]ump a la cadena de!inida por el usuario desde
las cadenas input !or"ard despues de las
las cadenas input !or"ard despues de las
primeras dos re(las=
primeras dos re(las=
add connectionBstateUesta'lis)ed X add connectionBstateUesta'lis)ed X
commentU\Esta'lis)ed connections\ commentU\Esta'lis)ed connections\
add connectionBstateUrelated X add connectionBstateUrelated X
commentU\Related connections\ commentU\Related connections\
add action=jump jump-target=virus \ add action=jump jump-target=virus \
comment=Checando por virus comment=Checando por virus
+ +
Index 2005
.a'oratorio de Hire"all
.a'oratorio de Hire"all

$rote/a su router de accesos no autori2ados con

$rote/a su router de accesos no autori2ados con
cadenas de input=
cadenas de input=

$ermita acceso solo desde la red #ue estas usando $ermita acceso solo desde la red #ue estas usando
en la laptop el router en la laptop el router

.o( todo acceso no autori2ado .o( todo acceso no autori2ado

$rue'a si el acceso )a sido 'lo#ueado desde !uera $rue'a si el acceso )a sido 'lo#ueado desde !uera
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Index 2005
Marcado de pa#uetes
Marcado de pa#uetes

$a#uetes pueden cam'iar sus par*metros

$a#uetes pueden cam'iar sus par*metros
iniciales& e/emplo& sus direcciones dentro del
iniciales& e/emplo& sus direcciones dentro del
!ire"all& de la misma manera los pa#uetes
!ire"all& de la misma manera los pa#uetes
pueden ser marcados para identi!icarlos
pueden ser marcados para identi!icarlos
despu8s dentro del router
despu8s dentro del router

Marcar es la Gnica manera de identi!icar

Marcar es la Gnica manera de identi!icar
pa#uetes dentro de los #ueues de *r'ol
pa#uetes dentro de los #ueues de *r'ol

Marcado de pa#uetes puede ser usado como un

Marcado de pa#uetes puede ser usado como un
clasi!icador para di!erentes polFticas de ruteo
clasi!icador para di!erentes polFticas de ruteo

Siempre c)e#ue el dia(rama de la estructura del

Siempre c)e#ue el dia(rama de la estructura del
!ire"all para entender los procedimientos
!ire"all para entender los procedimientos
correctos de con!i(uracin del !ire"all
correctos de con!i(uracin del !ire"all
Index 2005
N
N
?rackin(O de %onexiones
?rackin(O de %onexiones

%onnection ?rackin( 6%O<<?R3%_9 es un sistema #ue crea una %onnection ?rackin( 6%O<<?R3%_9 es un sistema #ue crea una
ta'la de conexiones activas ta'la de conexiones activas

En status es asi(nado para cada pa#uete= En status es asi(nado para cada pa#uete=

Invalid [ pa#uete a no !orma parte de nin(una conexin conocida Invalid [ pa#uete a no !orma parte de nin(una conexin conocida

<e" [ el pa#uete esta a'riendo una nueva conexin <e" [ el pa#uete esta a'riendo una nueva conexin

Esta'lis)ed [ el pa#uete pertenece a una conexin esta'lecida Esta'lis)ed [ el pa#uete pertenece a una conexin esta'lecida

Related [ el pa#uete crea una nueva conexin relativa a al(una Related [ el pa#uete crea una nueva conexin relativa a al(una
conexion a a'ierta conexion a a'ierta

El status no es necesario solamente para conexiones ?%$, 0e El status no es necesario solamente para conexiones ?%$, 0e
cual#uier manera NconnectionO es considerada a#uF como un cual#uier manera NconnectionO es considerada a#uF como un
intercam'io de datos de dos vias intercam'io de datos de dos vias

Status es usado en los !iltros de !ire"all Status es usado en los !iltros de !ire"all

%O<<?R3%_ es usado para marcar los pa#uetes %O<<?R3%_ es usado para marcar los pa#uetes

%O<<?R3%_ es necesario para )acer <3? %O<<?R3%_ es necesario para )acer <3?
Index 2005
<at de ori(en
<at de ori(en

SR%B<3? permite el cam'io de direccin ori(en

SR%B<3? permite el cam'io de direccin ori(en
puerto a la direccin local puerto del ruteador
puerto a la direccin local puerto del ruteador
6enmascaramiento9& o al(Gn otra direccin
6enmascaramiento9& o al(Gn otra direccin
puerto especi!icado
puerto especi!icado

3plicacin tFpica de SR%B<3? es esconder una

3plicacin tFpica de SR%B<3? es esconder una
red privada detr*s de una o mas direcciones
red privada detr*s de una o mas direcciones
pu'licas
pu'licas

.a direccin ori(en trasladada de'e pertenecer

.a direccin ori(en trasladada de'e pertenecer
al ruteador& a menos #ue otras medidas sean
al ruteador& a menos #ue otras medidas sean
tomadas para ase(urar el uso de di!erentes
tomadas para ase(urar el uso de di!erentes
direcciones,
direcciones,
Index 2005
E/emplo de SR%B<3?
E/emplo de SR%B<3?

Especi!i#ue la direccin ori(en a ser

Especi!i#ue la direccin ori(en a ser
enmascarada=
enmascarada=
Jip !ire"all srcBnat
Jip !ire"all srcBnat
add srcBaddressU7V2,7:M,0,0J2@
add srcBaddressU7V2,7:M,0,0J2@
actionUmas#uerade
actionUmas#uerade

O& Especi!i#ue la inter!ase de salida&

O& Especi!i#ue la inter!ase de salida&
cuando enmascaramiento de'a ser
cuando enmascaramiento de'a ser
usado=
usado=
Jip !ire"all srcBnat
Jip !ire"all srcBnat
add outBinter!aceU$u'lic actionUmas#uerade
add outBinter!aceU$u'lic actionUmas#uerade
Index 2005
.a'oratorio SR%B<3?
.a'oratorio SR%B<3?

%on!i(ura tu ruteador
%on!i(ura tu ruteador
para enmascarar
para enmascarar
tra!ico ori(inado
tra!ico ori(inado
desde tu red privada&
desde tu red privada&
cuando esta sal(a del
cuando esta sal(a del
ruteador por la
ruteador por la
inter!ase pu'lica,
inter!ase pu'lica,

Esa el dia(rama
Esa el dia(rama
como (uFa
como (uFa
Index 2005
0S?B<3?
0S?B<3?

0S?B<3? permite cam'iar la di

0S?B<3? permite cam'iar la di
reccin
reccin


el puerto del receptor a al(una otra
el puerto del receptor a al(una otra
direccin puerto conocido localmente
direccin puerto conocido localmente
por el ruteador
por el ruteador
o
o
se lle(ue a el
se lle(ue a el
vFa ruteo
vFa ruteo

?Fpicamente usado para acceder servicios

?Fpicamente usado para acceder servicios
en una red privada desde direcciones
en una red privada desde direcciones
pu'licas accediendo las direcciones
pu'licas accediendo las direcciones
pu'licas #ue enmascaran al(una red
pu'licas #ue enmascaran al(una red
Index 2005
E/emplo de 0estination <3?
E/emplo de 0estination <3?

Redireccione el puerto ?%$ 2L2L al puerto 2L

Redireccione el puerto ?%$ 2L2L al puerto 2L
del router=
del router=
Jip !ire"all dstBnat Jip !ire"all dstBnat
add protocolUtcp dstBaddressU70,5,57JL2=2L2L add protocolUtcp dstBaddressU70,5,57JL2=2L2L
actionUredirect toBdstBportU2L actionUredirect toBdstBportU2L

O& )a(a <3? al puerto interno 62L9 del server=

O& )a(a <3? al puerto interno 62L9 del server=
Jip !ire"all dstBnat Jip !ire"all dstBnat
add protocolUtcp dstBaddressU70,5,57JL2=2L2L add protocolUtcp dstBaddressU70,5,57JL2=2L2L
actionUnat toBdstBportU2L toBdstBaddressU actionUnat toBdstBportU2L toBdstBaddressU
7V2,7:M,0,250 7V2,7:M,0,250
Index 2005
.a'oratorio de 0S?B<3?
.a'oratorio de 0S?B<3?

%on!i(ura tu ruteador
%on!i(ura tu ruteador
para trasladar
para trasladar
pa#uetes con destino
pa#uetes con destino
la ip pu'lica puerto
la ip pu'lica puerto
M7 )acia la direccin
M7 )acia la direccin
interna puerto M0
interna puerto M0
del servidor local
del servidor local

use el dia(rama
use el dia(rama
como (uFa
como (uFa
Index 2005
Mas acerca de 0S?B<3?
Mas acerca de 0S?B<3?

0S?B<3?
0S?B<3?
permite mandar datos a al(Gn
permite mandar datos a al(Gn
servidor a otro servidor puerto,
servidor a otro servidor puerto,

0S?B<3? permite esconder varios

0S?B<3? permite esconder varios
servidores detr*s de una direccin I$, .os
servidores detr*s de una direccin I$, .os
servidores son seleccionados por puerto&
servidores son seleccionados por puerto&
o por al(Gn otro par*metro& como ori(en
o por al(Gn otro par*metro& como ori(en
del pa#uete& etc,
del pa#uete& etc,
Index 2005
Reparando Hire"all
Reparando Hire"all

Mire los contadores de pa#uetes 'tes

Mire los contadores de pa#uetes 'tes
para las re(las de !ire"all
para las re(las de !ire"all

Mueva las re(las para #ue se e/ecuten en

Mueva las re(las para #ue se e/ecuten en
el orden correcto
el orden correcto

.o(
.o(
uee
uee
los pa#uetes para ver #ue
los pa#uetes para ver #ue
protocolo& direcciones puerto tienen,
protocolo& direcciones puerto tienen,