Bloquear peticiones del MikroTik

[Ruby Sanchez]

Bloquear peticiones del MikroTik

Para que tu MikroTik Router no responda a peticiones externas (por ejemplo, solicitudes de ping o accesos a través de servicios como HTTP, Winbox, SSH, etc.), puedes configurar reglas de firewall para bloquear este tráfico. Esto puede ser útil si deseas aumentar la seguridad de tu dispositivo, evitando que sea accesible desde Internet.
Pasos para evitar que MikroTik responda a peticiones externas:

1 Bloquear respuestas a solicitudes de Ping (ICMP)

El protocolo ICMP es utilizado para hacer ping a dispositivos en la red. Si deseas que tu MikroTik no responda a solicitudes de ping desde el exterior (por ejemplo, para prevenir ataques de ping flood o simplemente por razones de seguridad), puedes bloquear estas solicitudes.
Configuración en Firewall:

1. Accede a tu MikroTik utilizando Winbox, WebFig o Terminal.
2. Ve a IP > Firewall > Filter Rules.
3. Haz clic en el botón "+" para agregar una nueva regla de filtro.
4. En la pestaña General:
   
   • Chain: Selecciona input (esto indica que el tráfico será para el router MikroTik, no para el tráfico entre interfaces).
   • Protocol: Selecciona icmp.
   
   
5. En la pestaña Action, selecciona drop para bloquear las respuestas.
6. Haz clic en Apply y luego en OK.

O en la terminal, puedes usar el siguiente comando para bloquear los pings entrantes:

/ip firewall filter add chain=input protocol=icmp action=drop

2 Bloquear el acceso a servicios específicos desde el exterior

Si tienes servicios como Winbox (puerto 8291), HTTP (puerto 80) o SSH (puerto 22) habilitados en tu MikroTik y deseas bloquear el acceso desde fuera de tu red (por ejemplo, para evitar que personas no autorizadas puedan acceder a tu router), debes agregar reglas de firewall para denegar esos puertos.
Bloquear Winbox desde fuera:

1. Ve a IP > Firewall > Filter Rules.
2. Haz clic en el botón "+" para agregar una nueva regla.
3. En la pestaña General:
   
   • Chain: Selecciona input.
   • Protocol: TCP
   • Dst. Port: Escribe 8291 (puerto de Winbox).
   
   
4. En la pestaña Action, selecciona drop.
5. Haz clic en Apply y luego en OK.

En la terminal:

/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop

Bloquear acceso HTTP (puerto 80):

Si deseas bloquear el acceso a la interfaz web de MikroTik (WebFig), puedes bloquear el puerto 80 de la siguiente manera:

1. Crea una nueva regla en Firewall > Filter Rules.
2. En la pestaña General:
   
   • Chain: input.
   • Protocol: TCP
   • Dst. Port: 80 (puerto HTTP).
   
   
3. En la pestaña Action, selecciona drop.
4. Haz clic en Apply y luego en OK.

Desde la terminal:

/ip firewall filter add chain=input protocol=tcp dst-port=80 action=drop

Bloquear SSH (puerto 22):

Para bloquear el acceso SSH desde fuera de la red:

1. Crea una nueva regla en Firewall > Filter Rules.
2. En la pestaña General:
   
   • Chain: input.
   • Protocol: TCP
   • Dst. Port: 22 (puerto SSH).
   
   
3. En la pestaña Action, selecciona drop.
4. Haz clic en Apply y luego en OK.

Desde la terminal:

/ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop

3 Bloquear todo el tráfico entrante desde IPs externas (en caso de estar detrás de un router NAT)

Si tu MikroTik está detrás de un router NAT (como en un escenario típico de red doméstica), y solo deseas permitir que el tráfico local pueda llegar al MikroTik, puedes bloquear todo el tráfico entrante desde Internet con una regla en el firewall.
Comando de terminal:

/ip firewall filter add chain=input connection-state=new in-interface=ether1 action=drop

En este caso, ether1 es la interfaz que está conectada a Internet (o la interfaz WAN). Esta regla bloqueará todo el tráfico entrante desde el exterior hacia tu MikroTik, pero permitirá las conexiones internas (desde la red local).
4 Desactivar la respuesta a solicitudes de DHCP

Si tu MikroTik está configurado para responder a solicitudes de DHCP (en caso de que se esté utilizando como servidor DHCP), también puedes desactivar esta funcionalidad para evitar que el router responda a dispositivos externos en busca de direcciones IP.

1. Ve a IP > DHCP Server.
2. Desactiva cualquier servidor DHCP que no necesites.

5 Filtrar tráfico según direcciones IP (Opcional)

Si deseas permitir el acceso solo desde direcciones IP específicas (por ejemplo, tu red local), puedes agregar reglas de firewall que permitan solo el acceso desde esas direcciones.
Ejemplo de permitir solo acceso de tu red interna (por ejemplo, 192.168.1.0/24):

1. Ve a IP > Firewall > Filter Rules.
2. Haz clic en el botón "+" para agregar una nueva regla.
3. En la pestaña General:
   
   • Chain: Selecciona input.
   • Src. Address: Pon tu red interna, por ejemplo 192.168.1.0/24.
   
   
4. En la pestaña Action, selecciona accept.
5. Haz clic en Apply y luego en OK.

Después, crea una regla para bloquear cualquier tráfico que no provenga de esta red, asegurando que solo las IPs de tu red interna puedan acceder al MikroTik.

/ip firewall filter add chain=input src-address=!192.168.1.0/24 action=drop

6 Verificar configuración

Una vez que hayas configurado todas las reglas necesarias para bloquear el tráfico externo, asegúrate de probar que tu MikroTik ya no responde a las solicitudes externas.
Puedes usar herramientas como Ping o intentar acceder a través de servicios como Winbox, HTTP o SSH para verificar que las reglas de firewall estén funcionando correctamente.