Como crear una lista de morosos y sacar clientes de esta en mikrotik

[Georgina]

Pasos para crear una lista de morosos y sacar clientes de esta en mikrotik:

Debe cumplirse que el Mikrotik sea el que administre los usuarios y a éstos se les tenga asignada una dirección IP fija/estática. En el ejemplo, la interfaz a la que están conectados los usuarios se llama bridge-local, pero puede ser cualquiera.


1 Configuración de IP -> Firewall - Address List
Estas reglas agrupan las IPs fijas de los usuarios o clientes morosos en la lista morosos. Estas IPs probablemente serán las IPs estáticas de los CPEs. Cada vez que quieras cortar el internet de un cliente, deberás agregar su IP a la lista morosos y ya está.

/ip firewall address-list

add address=192.168.70.100 comment=Test-CORTE list=morosos

add address=192.168.70.73 comment="Nercy Ortiz Cabrera-CORTE" list=morosos

add address=192.168.70.51 comment="Elvira Mosquera Trujillo-CORTE" list=morosos

2 Configuración de IP -> Web Proxy
El web proxy es el encargado final de denegar el tráfico y mostrar la página de pagos. La redirección global realmente occure así: Tráfico de IPs de morosos (en el NAT, paso 3) -> Web Proxy (Aquí)-> Página de pagos (en el ejemplo es 192.168.80.12:86, pero puede ser cualquier página o IP).

/ip proxy

set enabled=yes port=999

/ip proxy access

add action=deny redirect-to=192.168.80.12:86

3 Configuración de IP -> Firewall - NAT
Para el tráfico originado por las IPs de la lista morosos, se acepta el intercambio con la IP de la página de pagos - en nuestro caso es un portal de cliente - y de paso (es Opcional) también a algún otra IP(s) que ustedes deseen que aún los morosos puedan entrar (en nuestro caso las de sip.fututel.com y fututel.com). Las IPs pueden ser privadas o públicas. Como no aparece la parte de action en las reglas, ésta es accept (aceptar) por defecto.

/ip firewall nat

add chain=dstnat comment="Manager - Permitir Portal cliente - Morosos1234" \

    dst-address=192.168.80.12 src-address-list=morosos

add chain=dstnat comment="Permitir sip.fututel.com" dst-address=198.27.87.87 \

    src-address-list=morosos

add chain=dstnat comment="Permitir fututel.com" dst-address=192.99.183.34 \

    src-address-list=morosos

Aquí ya se suspende como tal el tráfico TCP y UDP originado por las IPs de los morosos y se redirige al puerto 999, que es el web proxy. También se especifica la interfaz de los usuarios - que es bridge-local, aunque ésto podría no ser necesario pero sí bueno para mejorar el desempeño. Adicionalmente es conveniente NO afectar el tráfico a los puertos del Mikrotik Winbox y/o Web (en nuestro caso sólo se dejó el TCP y UPD 8291) y el de DNS (UDP 53); nótese el ! al principio de los puertos, que indica que NO.

/ip firewall nat

add action=redirect chain=dstnat comment=\

    "Manager - Suspension de clientes(TCP)" dst-port=!8291 in-interface=\

    bridge-local protocol=tcp src-address-list=morosos to-ports=999

add action=redirect chain=dstnat comment=\

    "Manager - Suspension de clientes(UDP)" dst-port=!8291,53 in-interface=\

    bridge-local protocol=udp src-address-list=morosos to-ports=999