Próximos cursos
+34 93 737 6224
Madrid, España
hola@lanpixel.com
Nuestras redes 👉
root@mikrotik:~$ /ip firewall filter generate

FIREWALL GENERATOR

Genera reglas de firewall seguras para tu MikroTik, paso a paso
cadenas: 3
opciones: 12+
exportar: .rsc
costo: $0.00
1 Red
2 Input
3 Forward
4 NAT
5 Resultado
Configuracion de Red
Estos datos se usaran en todas las reglas del firewall. Si no estas seguro, deja los valores por defecto.
Interfaz conectada a internet
Bridge o interfaz de red local
Red local en formato CIDR
Formato invalido. Usa X.X.X.X/XX
Separados por coma
Input Chain — Proteger tu Router
Esta cadena controla quien puede comunicarse directamente con tu router. Sin estas reglas, cualquiera en internet puede intentar acceder a tu equipo.
Reglas base (siempre incluidas)
accept connection-state=established,related # Conexiones ya aceptadas
drop connection-state=invalid # Paquetes invalidos
accept protocol=icmp limit=5,5:packet # Ping limitado
accept in-interface-list=LAN # Todo desde tu red LAN
drop # BLOQUEAR todo lo demas
Que mas necesitas? (opcional)
Acceder al router por Winbox desde fuera
Permite conexion Winbox (puerto 8291) desde IPs especificas. Util si administras el router remotamente.
requiere IP confiable
Solo estas IPs podran acceder por Winbox
Acceder por SSH desde fuera
Permite conexion SSH (puerto 22) desde IPs especificas.
requiere IP confiable
Permitir conexiones VPN al router
Acepta L2TP, IPSec y SSTP para que clientes VPN se conecten a tu red.
recomendado
Acceder por WebFig (HTTP) desde fuera
Permite acceso web al router (puerto 80/443) desde IPs especificas.
solo si es necesario
ServicioEstadoPuerto
Telnet inseguro
FTP inseguro
SSH recomendado
Winbox recomendado
HTTP (WebFig) usa Winbox
HTTPS (WebFig SSL) usa Winbox
API solo si necesario
API-SSL solo si necesario
Bandwidth Server N/Ainnecesario
Forward Chain — Controlar el Trafico
Esta cadena controla que trafico puede pasar a traves de tu router. Aqui decides que pueden hacer tus usuarios en la red.
Reglas base (siempre incluidas)
accept connection-state=established,related
drop connection-state=invalid
accept in-interface-list=LAN out-interface-list=WAN # LAN a internet
drop # BLOQUEAR todo lo demas
Que problemas quieres resolver? (opcional)
Bloquear sitios web (redes sociales, etc)
Bloquea el acceso a dominios especificos usando address-list y filtros DNS.
popular
Dejar vacio para bloquear todo el dia
Permitir VPN passthrough
Permite que los usuarios de tu red usen VPN externas (GRE, ESP, IPSec).
recomendado
Proteccion contra ataques DoS
Limita conexiones TCP SYN y paquetes ICMP para mitigar ataques de denegacion de servicio basicos.
avanzado
Determina los limites de conexiones SYN permitidas por segundo. Una red mas grande necesita limites mas altos para no bloquear trafico legitimo.
Control parental (bloqueo por horarios)
Bloquea el acceso a internet para dispositivos especificos durante la noche.
para hogares
Ej: 22:00 a 07:00 = sin internet de noche
NAT — Conectar tu Red a Internet
NAT (Network Address Translation) permite que todos tus dispositivos internos compartan una sola IP publica para salir a internet.
Regla base (siempre incluida)
/ip firewall nat
masquerade chain=srcnat out-interface-list=WAN # Compartir internet
Que mas necesitas? (opcional)
Abrir puertos (Port Forwarding)
Redirige puertos de tu IP publica a dispositivos internos. Util para camaras, servidores, juegos, etc.
muy comun
Puerto Ext.IP InternaPuerto Int.ProtoDescripcion
Forzar que todos usen tu DNS
Redirige todas las consultas DNS (puerto 53) al router, evitando que los usuarios usen DNS externos. Util para filtrado de contenido.
recomendado
Hairpin NAT (acceso interno por IP publica)
Permite que dispositivos internos accedan a servidores internos usando la IP publica. Necesario si usas port forwarding y quieres acceder desde la LAN.
avanzado
Script Completo

Como aplicar estas reglas

  1. Abre Winbox o WebFig y conectate a tu router
  2. Ve a System > Terminal (o usa SSH)
  3. IMPORTANTE: Activa el Safe Mode presionando Ctrl+X en el terminal. Si pierdes la conexión, el router revertirá los cambios automáticamente cuando detecte que Winbox se desconectó.
  4. Método 1 - Copiar y pegar: Pega el script completo en el terminal y presiona Enter
  5. Método 2 - Importar archivo: Descarga el script (.rsc), súbelo al router via FTP/Files, y ejecuta: /import file-name=firewall.rsc
  6. Verifica que sigues teniendo acceso al router
  7. Si todo funciona, desactiva Safe Mode con Ctrl+X nuevamente

Que hacer si pierdes acceso

  1. Si activaste Safe Mode: NO es necesario esperar. Cuando Winbox detecte que se desconectó, el router revertirá los cambios automáticamente de inmediato.
  2. Conexión por MAC: Si pierdes acceso por IP, usa MAC-Winbox para conectarte por la dirección MAC del router (funciona incluso sin configuración de IP).
  3. Si NO activaste Safe Mode: Conecta un cable al router directamente y accede por la IP por defecto (192.168.88.1)
  4. Último recurso: Mantén presionado el botón de reset del router por 5 segundos para restaurar la configuración de fábrica
Explicacion

Crea reglas de firewall para MikroTik en segundos.

El firewall es la primera línea de defensa de cualquier red MikroTik. Pero configurarlo bien — con las cadenas correctas, el orden adecuado y sin dejar huecos — lleva tiempo y experiencia. Esta herramienta lo hace por ti. Introduce los parámetros de tu red: interfaces, rangos de IPs y políticas de acceso.

En segundos obtendrás un script de firewall completo, listo para importar directamente en RouterOS. Sin errores de sintaxis. Sin empezar desde cero cada vez. Ideal para técnicos que despliegan MikroTik en instalaciones de clientes y necesitan una base de reglas sólida o administradores de red que quieren estandarizar configuraciones entre equipos.

¿Quieres entender qué hace cada regla y por qué? En el Curso MikroTik MTCNA Online de Lanpixel lo vemos en detalle, con laboratorios prácticos incluidos.

Search

Hit enter to search or ESC to close