Firewall MikroTik y seguridad de red con RouterOS
Diseñamos políticas de firewall en RouterOS según tu operación real: filtrado, segmentación y protección perimetral para ISPs y empresas con infraestructura crítica. Llave en mano, documentado y con el control en tus manos.
Reglas de firewall diseñadas para tu operación
No aplicamos plantillas genéricas. Levantamos tu topología, tus servicios expuestos y tus flujos de tráfico reales para construir una cadena de reglas filter, NAT y mangle ordenada, auditable y con políticas por defecto en deny. Cada regla responde a una necesidad concreta de tu red, no a una lista de copy-paste.
Trabajamos sobre RouterOS aprovechando connection tracking, address lists dinámicas, raw para descartar tráfico antes del conntrack y reglas con logging selectivo. El resultado es un firewall que filtra lo que debe, deja pasar lo que necesitas y te permite entender por qué cada paquete fue aceptado o descartado.
Segmentación, perímetro y hardening de RouterOS
Separamos tu red en zonas con interface lists y reglas inter-VLAN para que un equipo comprometido no exponga toda la infraestructura. La protección perimetral combina filtrado de entrada, control de servicios de administración y mitigación de abusos como escaneos, fuerza bruta y floods mediante address lists con tiempo de vida y límites de conexión.
El hardening cierra la propia exposición del router: deshabilitamos servicios innecesarios, restringimos el acceso de gestión por IP y por interfaz, endurecemos credenciales y dejamos el equipo en una configuración mínima y vigilada. Entregamos todo documentado, sin credenciales externas ni dependencias ocultas.
Anatomía de un firewall RouterOS bien hecho
El orden de las reglas define el rendimiento y la seguridad. Una cadena input limpia protege al propio router:
/ip firewall filter
# Aceptar lo ya establecido (rápido) y descartar lo inválido
add chain=input action=accept connection-state=established,related,untracked
add chain=input action=drop connection-state=invalid
# ICMP controlado: NO bloquearlo todo (rompe Path MTU y, en IPv6, Neighbor Discovery)
add chain=input action=accept protocol=icmp
# Gestión solo desde IPs/zona autorizada
add chain=input action=accept src-address-list=admin
# Política por defecto: deny (regla final)
add chain=input action=drop log=yes log-prefix="DROP-input"
Contra floods y escaneos, descartar antes del conntrack con la tabla raw ahorra CPU; y una address-list dinámica frena la fuerza bruta a Winbox:
/ip firewall filter
add chain=input protocol=tcp dst-port=8291 connection-state=new \
src-address-list=!admin action=add-src-to-address-list \
address-list=blacklist address-list-timeout=1h
/ip firewall raw
add chain=prerouting src-address-list=blacklist action=drop
Hardening del propio router
# Apagar servicios que no usas y limitar Winbox a la red de gestión
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set api disabled=yes
/ip service set winbox address=192.168.88.0/24
# Descubrimiento y MAC-server solo en la LAN, nunca hacia la WAN
/ip neighbor discovery-settings set discover-interface-list=LAN
/tool mac-server set allowed-interface-list=LAN
Errores comunes de firewall
- Política por defecto en accept (olvidar el drop final): el firewall no filtra nada.
- Filtrar solo forward y dejar input abierto: la red parece protegida, pero el router queda expuesto.
- Exponer Winbox (8291) o la API a Internet.
- Poner el drop antes de los accept: te cortas a ti mismo.
- Bloquear todo el ICMP: rompes Path MTU Discovery (conexiones que se cuelgan) y, en IPv6, el Neighbor Discovery.
- No usar address-list para la gestión: cada cambio de IP es una regla nueva.
La protección perimetral se complementa con VPN para el acceso remoto, y todo esto es lo que se certifica en el MTCSE. Si prefieres que lo operemos por ti, lo cubre el soporte 24/7.
Política por defecto deny
Cadenas filter ordenadas que bloquean todo lo no explícito, con NAT y mangle limpios y reglas trazables una por una.
Segmentación por zonas
Separación con VLAN e interface lists para contener incidentes y aislar usuarios, servidores y enlaces de gestión.
Mitigación de amenazas
Address lists dinámicas y límites de conexión contra escaneos, fuerza bruta y floods, descartando tráfico hostil en raw.
Hardening del router
Acceso de administración restringido por IP e interfaz, servicios innecesarios apagados y superficie de ataque reducida al mínimo.
Entrega llave en mano
Configuración documentada y explicada, con el control 100% en tus manos: sin candados ni dependencias de terceros.
¿Trabajan sobre mi configuración actual o parten de cero?
Ambos escenarios. Hacemos un diagnóstico de tu firewall actual y decidimos contigo si lo endurecemos sobre lo existente o reconstruimos las cadenas desde una base limpia. Lo definimos según el riesgo y la operación, nunca a ciegas.
¿El firewall MikroTik sirve para una red de ISP con mucho tráfico?
Sí. RouterOS maneja firewall, NAT y QoS a escala de proveedor. Diseñamos reglas eficientes que cuidan el uso de CPU y conntrack, y las complementamos con segmentación y control de tráfico para sostener disponibilidad en infraestructura crítica.
¿Quedo dependiendo de ustedes para administrar el firewall?
No. La entrega es llave en mano: te dejamos la configuración documentada y explicada, con todas las credenciales y el control en tus manos. Puedes mantenerlo tu equipo o seguir con nuestro soporte, pero la decisión siempre es tuya.
¿Forman a mi equipo en seguridad y firewall de RouterOS?
Sí. Somos trainers oficiales MikroTik y ofrecemos formación, incluyendo certificaciones oficiales como MTCNA y MTCRE, para que tu equipo entienda y opere las políticas de firewall que implementamos.
¿Bloquear todo el ICMP no es más seguro?
No. Bloquear el ICMP por completo rompe Path MTU Discovery (páginas y VPNs que quedan colgadas) y, en IPv6, rompe el Neighbor Discovery, que es esencial. Lo correcto es permitir el ICMP necesario y limitar su tasa, no eliminarlo.