Seguridad

Firewall MikroTik: Buenas Prácticas para Pequeñas Empresas

19 de Mayo de 2025·9 min de lectura·Equipo Mikrosinc

El firewall del RouterOS es uno de los más flexibles del mercado — y por eso también uno de los más fáciles de configurar mal. Muchas instalaciones en pequeñas empresas tienen reglas contradictorias, permisos más amplios de lo necesario e incluso reglas que nunca llegan a procesarse por estar en la posición equivocada en la lista.

En este artículo, entenderás la lógica de las chains del RouterOS y verás un conjunto de reglas sólido para proteger tu red corporativa.

Comprendiendo las chains del firewall RouterOS

El firewall de MikroTik procesa paquetes en tres chains principales — y entender cuál se aplica a cada situación es fundamental:

INPUT

Tráfico destinado al propio router. Ej: SSH, Winbox, ping al router. Protege la gestión del equipo.

FORWARD

Tráfico que pasa por el router de una interfaz a otra. Ej: usuario de la LAN accediendo a internet o a la red de sucursal.

OUTPUT

Tráfico originado por el propio router. Raramente modificado, pero importante para controlar conexiones de salida del dispositivo.

Error más común: crear todas las reglas en la chain input cuando el objetivo es controlar el tráfico de los usuarios de la red — que pertenece a la chain forward.

Reglas básicas de INPUT (protegiendo el router)

# 1. Aceptar conexiones ya establecidas (performance)
/ip firewall filter add chain=input \
  connection-state=established,related \
  action=accept comment="Estado: established/related"

# 2. Descartar paquetes inválidos
/ip firewall filter add chain=input \
  connection-state=invalid \
  action=drop comment="Estado: inválido"

# 3. Aceptar ICMP (ping al router)
/ip firewall filter add chain=input \
  protocol=icmp \
  action=accept comment="ICMP"

# 4. Aceptar administración solo desde LAN
/ip firewall filter add chain=input \
  src-address=192.168.1.0/24 \
  action=accept comment="Admin LAN"

# 5. Bloquear todo lo demás en INPUT
/ip firewall filter add chain=input \
  action=drop comment="Drop INPUT padrão"

Reglas de FORWARD (protegiendo los usuarios)

# Aceptar estado established/related (esencial para performance)
/ip firewall filter add chain=forward \
  connection-state=established,related \
  action=accept

# Descartar inválidos en forward
/ip firewall filter add chain=forward \
  connection-state=invalid \
  action=drop

# Bloquear acceso de internet hacia la LAN (excepto conexiones iniciadas por la LAN)
/ip firewall filter add chain=forward \
  in-interface=ether1 \
  connection-state=new \
  action=drop comment="Bloquear nova conexão WAN→LAN"

Separar redes de visitantes de la red corporativa

Uno de los errores más comunes en PYMEs es conectar clientes, visitantes y empleados en la misma red. Si un visitante trae un notebook con malware, toda la red queda expuesta. La regla a continuación impide que dispositivos en la VLAN de visitantes accedan a la red interna:

# Bloquear tráfico de la VLAN de visitantes hacia la LAN corporativa
/ip firewall filter add chain=forward \
  src-address=192.168.10.0/24 \
  dst-address=192.168.1.0/24 \
  action=drop \
  comment="Visitantes não acessam LAN corporativa"

Protección contra port scanning

# Detectar y bloquear scans de puertos comunes
/ip firewall filter add chain=input \
  protocol=tcp \
  psd=21,3s,3,1 \
  action=add-src-to-address-list \
  address-list=port-scanners \
  address-list-timeout=24h \
  comment="Detectar port scan"

/ip firewall filter add chain=input \
  src-address-list=port-scanners \
  action=drop \
  comment="Bloquear port scanners"

El orden de las reglas importa mucho

El RouterOS procesa las reglas de firewall en secuencia, de arriba hacia abajo, y se detiene en la primera que coincida con el paquete. Esto significa que:

Las reglas de accept para established/related deben estar al inicio — procesan la mayoría de los paquetes con mínimo costo
Las reglas de drop genéricas deben estar al final
Una regla más específica después de una más genérica que hace accept nunca será procesada

Problema real: es común encontrar instalaciones donde la regla de drop de WAN está debajo de una regla de accept all — haciendo la protección completamente ineficaz sin ningún aviso visual.

Cómo el AI Guardian de Mikrosinc ayuda

Auditar manualmente decenas de reglas de firewall en múltiples routers es laborioso y propenso a errores humanos. El AI Guardian de Mikrosinc se conecta al router, lee todas las reglas de firewall y ejecuta un análisis completo:

Detecta reglas sin efecto (shadow rules — cubiertas por regla anterior)
Identifica permisos excesivamente abiertos
Señala ausencia de reglas críticas de protección
Asigna un score de seguridad de 0 a 100
Sugiere correcciones con preview del diff antes de aplicar

Analiza el firewall de tus routers con IA

El AI Guardian de Mikrosinc verifica tus reglas de firewall, detecta brechas y sugiere correcciones — todo con visualización previa antes de aplicar cualquier cambio.

Analizar mi Firewall Ahora

Firewall MikroTik: Buenas Prácticas para Pequeñas Empresas

Comprendiendo las chains del firewall RouterOS

Reglas básicas de INPUT (protegiendo el router)

Reglas de FORWARD (protegiendo los usuarios)

Separar redes de visitantes de la red corporativa

Protección contra port scanning

El orden de las reglas importa mucho

Cómo el AI Guardian de Mikrosinc ayuda

Analiza el firewall de tus routers con IA

Artículos relacionados