Saul.Herrera
08/12/2020, 16:46
Si quieres llevar un control de quien puede tener acceso a internet o bien te dedicas al negocio de WISP es importante definir que direcciones IP podrán navegar ya que si una persona se llegue a conectar a su red colocándose una dirección del segmento que maneja podrá navegar sin problema.
Para evitar estos inconvenientes hay dos formas que nos permiten llevar un control de quienes pueden navegar y quiénes no. La primera forma es por medio de Amarre ip-Mac y el otro medio del firewall que nos ofrece MikroTik que es realizara a continuación.
En el siguiente link pora encontrar el manual para realizar por medio de Amarre ip-Mac
Como configurar Amarre IP/MAC por ARP Mikrotik (http://foroisp.com/threads/1610-Como-configurar-Amarre-IP-MAC-por-ARP-Mikrotik)
Tomando en cuenta el siguiente diagrama primero se deben de crear dos address list las cuales serán con las que deneguemos y permitamos el tráfico solo a las IPs que se les va a proporcionar servicio.
582
1Nos dirigimos a IP->Firewall->Address List donde agregaremos las listas que vamos a utilizar.
572
2Creamos una address list con el nombre Redes-Locales y agregamos nuestras redes LAN.
573
3Ahora creamos la lista de las ip a las cuales vamos a permitir el servicio de internet.
574
4Una vez que tengamos las dos listas vamos a pegar el siguiente script en la terminal de nuestro equipo lo que nos creara dos reglas, una que permite que las direcciones IP puedan navegar y otra que deniega todo el tráfico que este en la red LAN.
575
/ip firewall filter
add action=accept chain=forward src-address-list=Direcciones-Autorizadas
add action=drop chain=forward src-address-list=Redes-Locales
576
Con esto ya estamos seguros de que solo las IP que están en nuestra address list de Direcciones Autorizadas y que cualquier otra dirección que este dentro del segmento de la red LAN que agregamos en la address list de Redes-Locales no podrá navegar.
Por ejemplo intentamos navegar con la IP 192.168.20.250 la cual no esta registrada como dirección permitida por lo que no podra navegar.
577
578
Ahora si probamos con la IP 192.168.20.254 la cual si esta agregada como una dirección autorizada veremos que si podemos navegar.
579
580
581
Para permitir que otro equipo pueda navegar solo se debe agregar la IP que se le va a asignar, a la address list que se creo en el paso 3
Para evitar estos inconvenientes hay dos formas que nos permiten llevar un control de quienes pueden navegar y quiénes no. La primera forma es por medio de Amarre ip-Mac y el otro medio del firewall que nos ofrece MikroTik que es realizara a continuación.
En el siguiente link pora encontrar el manual para realizar por medio de Amarre ip-Mac
Como configurar Amarre IP/MAC por ARP Mikrotik (http://foroisp.com/threads/1610-Como-configurar-Amarre-IP-MAC-por-ARP-Mikrotik)
Tomando en cuenta el siguiente diagrama primero se deben de crear dos address list las cuales serán con las que deneguemos y permitamos el tráfico solo a las IPs que se les va a proporcionar servicio.
582
1Nos dirigimos a IP->Firewall->Address List donde agregaremos las listas que vamos a utilizar.
572
2Creamos una address list con el nombre Redes-Locales y agregamos nuestras redes LAN.
573
3Ahora creamos la lista de las ip a las cuales vamos a permitir el servicio de internet.
574
4Una vez que tengamos las dos listas vamos a pegar el siguiente script en la terminal de nuestro equipo lo que nos creara dos reglas, una que permite que las direcciones IP puedan navegar y otra que deniega todo el tráfico que este en la red LAN.
575
/ip firewall filter
add action=accept chain=forward src-address-list=Direcciones-Autorizadas
add action=drop chain=forward src-address-list=Redes-Locales
576
Con esto ya estamos seguros de que solo las IP que están en nuestra address list de Direcciones Autorizadas y que cualquier otra dirección que este dentro del segmento de la red LAN que agregamos en la address list de Redes-Locales no podrá navegar.
Por ejemplo intentamos navegar con la IP 192.168.20.250 la cual no esta registrada como dirección permitida por lo que no podra navegar.
577
578
Ahora si probamos con la IP 192.168.20.254 la cual si esta agregada como una dirección autorizada veremos que si podemos navegar.
579
580
581
Para permitir que otro equipo pueda navegar solo se debe agregar la IP que se le va a asignar, a la address list que se creo en el paso 3