¿Qué es el Address List?
Permite agrupar direcciones IP bajo un nombre o etiqueta específica. Esto se utiliza para simplificar la gestión de reglas de firewall, colas de tráfico, NAT, o cualquier otra configuración que trabaje con direcciones IP. Básicamente un Address List te permite crear grupos de IPs para aplicar políticas o configuraciones de manera más eficiente y organizada. Por ejemplo:
- Control de acceso
- Gestión de ancho de banda
- Protección contra ataques
- Redireccionamiento y NAT
¿Cómo crear un Address List en nuestro MikroTik?
1 Desde Winbox de a IP > Firewall > Address List
Archivo adjunto 3637
2 Hacemos clic en el botón "+" para agregar uno nuevo
Archivo adjunto 3638
3 Agrega un nombre al Address List y agrega la IP finalmente da clic en "Aceptar"
Archivo adjunto 3639
Usos comunes y cómo aplicarlos
Control de acceso
Con esto se busca bloquear o permitir el acceso a ciertos recursos en una red, con Address Lists, puedes agrupar direcciones IP o rangos que representen:
- Usuarios o dispositivos permitidos (por ejemplo, empleados, servidores, o cámaras de seguridad).
- Usuarios o dispositivos bloqueados (por ejemplo, dispositivos no autorizados o IP´s sospechosas).
Pongamos un ejemplo, queremos permitir el acceso solo a dispositivos autorizados
1 Vamos a IP > Firewall > Address List y agregamos una IP con el nombre "Dispositivos permitidos"
2 Agregamos las IPs de los dispositivos autorizados (por ejemplo: 192.168.1.10, 192.168.1.20, etc.).
/ip firewall address-list add list=ips_autorizadas address=192.168.75.254
3 Ahora creamos una regla para solo permitir estas IP´s
/ip firewall filteradd chain=forward connection-state=established,related action=accept comment="Permitir tráfico relacionado y establecido"
add chain=forward src-address-list=ips_autorizadas action=accept comment="Permitir tráfico IPs Autorizadas"
add chain=forward action=drop comment="Denegar resto de tráfico"
Gestión de ancho de banda
Usar Address List en MikroTik para gestionar el ancho de banda tiene varios beneficios, ya que es una herramienta flexible que permite organizar y aplicar políticas de control de manera eficiente.
1Agregamos reglas de subida y de descarga en el mikrotik. Es importante agregar el nombre del address list que vamos a controlar en el mangle
Archivo adjunto 3640
2Y agregamos nuestras ips en IP > Firewall > Address List
Archivo adjunto 3641
Protección contra ataques
En el contexto de la protección contra ataques (como DoS, DDoS, escaneo de puertos, etc.), el Address List es útil para:
- Identificar y bloquear atacantes: Puedes agregar automáticamente a una lista las direcciones IP sospechosas.
- Permitir el acceso solo a direcciones IP confiables: Crear una "whitelist" para garantizar que solo ciertos usuarios puedan acceder al router o servicios específicos.
Por ejemplo, para permitir impedir ataques DDoS, puedes usar Address List para mitigar ataques volumétricos limitando el número de conexiones permitidas desde una IP específica
/ip firewall filteradd chain=forward protocol=tcp connection-limit=100,32 src-address-list=ddos-attackers action=add-src-to-address-list address-list=blocked-ddos address-list-timeout=10m comment="Detectar ataque DDoS"
add chain=forward protocol=tcp src-address-list=blocked-ddos action=drop comment="Bloquear IPs DDoS"
Si una IP excede 100 conexiones simultáneas, se agrega a la lista blocked-ddos. Las direcciones en blocked-ddos son bloqueadas durante 10 minutos.
Redireccionamiento y NAT
También puede ser usado para gestionar redireccionamientos y configuraciones de NAT (Network Address Translation), especialmente para:
- Controlar qué IPs pueden acceder a un servicio redirigido.
- Aplicar reglas de NAT únicamente a ciertas direcciones IP (o rangos de IP).
- Facilitar configuraciones más dinámicas, reduciendo reglas individuales.
Este es un caso comun cuando configuras un servidor de Hotspot o una red donde quieres que los usuarios que no estén autenticados sean redirigidos automáticamente a una página de advertencia o portal de inicio. Suponiendo que tenemos un servidor interno que aloha paginas de advertencia en 192.168.1.50
/ip firewall address-list add address=192.168.1.10 list=authenticated-users;
/ip firewall address-list add address=192.168.1.11 list=authenticated-users;
/ip firewall nat add chain=dstnat src-address-list=!authenticated-users protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.50 to-ports=80 comment="Redirigir usuarios no autenticados a página de advertencia"
