User Tag List

Gracias Gracias:  0
Me agrada Me agrada:  0
Me desagrada Me desagrada:  0
Resultados 1 al 1 de 1

Tema: Address list en mikrotik

Vista híbrida

Mensaje anterior Mensaje anterior   Próximo mensaje Próximo mensaje
  1. 14/01/2025, 09:29 #1
    Slowlyng
    Slowlyng está desconectado
    Fecha de ingreso
    09 Jan, 25
    Mensajes
    2
    Reconocimientos
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)

    Address list en mikrotik

    ¿Qué es el Address List?

    Permite agrupar direcciones IP bajo un nombre o etiqueta específica. Esto se utiliza para simplificar la gestión de reglas de firewall, colas de tráfico, NAT, o cualquier otra configuración que trabaje con direcciones IP. Básicamente un Address List te permite crear grupos de IPs para aplicar políticas o configuraciones de manera más eficiente y organizada. Por ejemplo:


    • Control de acceso
    • Gestión de ancho de banda
    • Protección contra ataques
    • Redireccionamiento y NAT


    ¿Cómo crear un Address List en nuestro MikroTik?


    1 Desde Winbox de a IP > Firewall > Address List

    Nombre: PCQ1.jpg Visitas: 23 Tamaño: 52.5 KB

    2 Hacemos clic en el botón "+" para agregar uno nuevo

    Nombre: PCQ2.png Visitas: 23 Tamaño: 24.6 KB

    3 Agrega un nombre al Address List y agrega la IP finalmente da clic en "Aceptar"

    Nombre: PCQ3.png Visitas: 23 Tamaño: 25.2 KB

    Usos comunes y cómo aplicarlos

    Control de acceso

    Con esto se busca bloquear o permitir el acceso a ciertos recursos en una red, con Address Lists, puedes agrupar direcciones IP o rangos que representen:


    • Usuarios o dispositivos permitidos (por ejemplo, empleados, servidores, o cámaras de seguridad).
    • Usuarios o dispositivos bloqueados (por ejemplo, dispositivos no autorizados o IP´s sospechosas).


    Pongamos un ejemplo, queremos permitir el acceso solo a dispositivos autorizados

    1 Vamos a IP > Firewall > Address List y agregamos una IP con el nombre "Dispositivos permitidos"

    2 Agregamos las IPs de los dispositivos autorizados (por ejemplo: 192.168.1.10, 192.168.1.20, etc.).

    /ip firewall address-list add list=ips_autorizadas address=192.168.75.254


    3 Ahora creamos una regla para solo permitir estas IP´s

    /ip firewall filteradd chain=forward connection-state=established,related action=accept comment="Permitir tráfico relacionado y establecido"
    
add chain=forward src-address-list=ips_autorizadas action=accept comment="Permitir tráfico IPs Autorizadas"
    
add chain=forward action=drop comment="Denegar resto de tráfico"


    Gestión de ancho de banda

    Usar Address List en MikroTik para gestionar el ancho de banda tiene varios beneficios, ya que es una herramienta flexible que permite organizar y aplicar políticas de control de manera eficiente.

    1Agregamos reglas de subida y de descarga en el mikrotik. Es importante agregar el nombre del address list que vamos a controlar en el mangle

    Nombre: PCQ5.png Visitas: 23 Tamaño: 23.1 KB

    2Y agregamos nuestras ips en IP > Firewall > Address List

    Nombre: PCQ6.png Visitas: 23 Tamaño: 7.9 KB

    Protección contra ataques

    En el contexto de la protección contra ataques (como DoS, DDoS, escaneo de puertos, etc.), el Address List es útil para:



    • Identificar y bloquear atacantes: Puedes agregar automáticamente a una lista las direcciones IP sospechosas.
    • Permitir el acceso solo a direcciones IP confiables: Crear una "whitelist" para garantizar que solo ciertos usuarios puedan acceder al router o servicios específicos.


    Por ejemplo, para permitir impedir ataques DDoS, puedes usar Address List para mitigar ataques volumétricos limitando el número de conexiones permitidas desde una IP específica

    /ip firewall filteradd chain=forward protocol=tcp connection-limit=100,32 src-address-list=ddos-attackers action=add-src-to-address-list address-list=blocked-ddos address-list-timeout=10m comment="Detectar ataque DDoS"
    
add chain=forward protocol=tcp src-address-list=blocked-ddos action=drop comment="Bloquear IPs DDoS"


    Si una IP excede 100 conexiones simultáneas, se agrega a la lista blocked-ddos. Las direcciones en blocked-ddos son bloqueadas durante 10 minutos.

    Redireccionamiento y NAT

    También puede ser usado para gestionar redireccionamientos y configuraciones de NAT (Network Address Translation), especialmente para:



    • Controlar qué IPs pueden acceder a un servicio redirigido.
    • Aplicar reglas de NAT únicamente a ciertas direcciones IP (o rangos de IP).
    • Facilitar configuraciones más dinámicas, reduciendo reglas individuales.


    Este es un caso comun cuando configuras un servidor de Hotspot o una red donde quieres que los usuarios que no estén autenticados sean redirigidos automáticamente a una página de advertencia o portal de inicio. Suponiendo que tenemos un servidor interno que aloha paginas de advertencia en 192.168.1.50

    /ip firewall address-list add address=192.168.1.10 list=authenticated-users;
    
/ip firewall address-list add address=192.168.1.11 list=authenticated-users;
    
/ip firewall nat add chain=dstnat src-address-list=!authenticated-users protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.50 to-ports=80 comment="Redirigir usuarios no autenticados a página de advertencia"
    Última edición por Georgina; 01/02/2025 a las 12:30
    Citar Citar
« Tema anterior | Próximo tema »

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •  

Reglas del foro