Firewall Generator para MikroTik

Configuracion de Red

Estos datos se usaran en todas las reglas del firewall. Si no estas seguro, deja los valores por defecto.

Interfaz WAN

Interfaz conectada a internet

Interfaz LAN

Bridge o interfaz de red local

Subred LAN

Red local en formato CIDR

Formato invalido. Usa X.X.X.X/XX

Servidores DNS

Separados por coma

Input Chain — Proteger tu Router

Esta cadena controla quien puede comunicarse directamente con tu router. Sin estas reglas, cualquiera en internet puede intentar acceder a tu equipo.

Reglas base (siempre incluidas)

accept connection-state=established,related # Conexiones ya aceptadas

drop connection-state=invalid # Paquetes invalidos

accept protocol=icmp limit=5,5:packet # Ping limitado

accept in-interface-list=LAN # Todo desde tu red LAN

drop # BLOQUEAR todo lo demas

Que mas necesitas? (opcional)

Acceder al router por Winbox desde fuera

Permite conexion Winbox (puerto 8291) desde IPs especificas. Util si administras el router remotamente.

requiere IP confiable

IP o rango permitido

Solo estas IPs podran acceder por Winbox

Acceder por SSH desde fuera

Permite conexion SSH (puerto 22) desde IPs especificas.

requiere IP confiable

IP o rango permitido

Permitir conexiones VPN al router

Acepta L2TP, IPSec y SSTP para que clientes VPN se conecten a tu red.

recomendado

Acceder por WebFig (HTTP) desde fuera

Permite acceso web al router (puerto 80/443) desde IPs especificas.

solo si es necesario

IP o rango permitido

Modo avanzado

Protecciones adicionales recomendadas para routers expuestos a internet

Proteccion contra fuerza bruta (Fail2Ban)

Bloquea IPs que intentan adivinar tu contrasena de Winbox, SSH o WebFig tras 3 intentos fallidos. Bloqueo de 10 dias.

Deteccion de escaneo de puertos

Detecta bots y scanners (Shodan, etc) que prueban puertos de tu router y los bloquea por 14 dias.

Bloquear IPs privadas/falsas desde internet (Bogons)

Descarta paquetes con IPs privadas (10.x, 172.16.x, 192.168.x) que llegan por WAN. Nadie en internet deberia enviarte esas IPs.

Configurar servicios del router

Habilita, deshabilita o cambia puertos de los servicios de RouterOS. Los servicios desactivados no aceptan conexiones.

Servicio	Puerto
Telnet		inseguro
FTP		inseguro
SSH		recomendado
Winbox		recomendado
HTTP (WebFig)		usa Winbox
HTTPS (WebFig SSL)		usa Winbox
API		solo si necesario
API-SSL		solo si necesario
Bandwidth Server	N/A	innecesario

FastTrack (acelerar trafico)

Acelera paquetes TCP/UDP establecidos saltando parte del firewall. Reduce carga de CPU significativamente.

Incompatible con Simple Queues. No activar si usas QoS/burst.

Forward Chain — Controlar el Trafico

Esta cadena controla que trafico puede pasar a traves de tu router. Aqui decides que pueden hacer tus usuarios en la red.

Reglas base (siempre incluidas)

accept connection-state=established,related

drop connection-state=invalid

accept in-interface-list=LAN out-interface-list=WAN # LAN a internet

drop # BLOQUEAR todo lo demas

Que problemas quieres resolver? (opcional)

Bloquear sitios web (redes sociales, etc)

Bloquea el acceso a dominios especificos usando address-list y filtros DNS.

popular

Dominios a bloquear (uno por linea)

Horario de bloqueo (opcional)

Dejar vacio para bloquear todo el dia

Permitir VPN passthrough

Permite que los usuarios de tu red usen VPN externas (GRE, ESP, IPSec).

recomendado

Proteccion contra ataques DoS

Limita conexiones TCP SYN y paquetes ICMP para mitigar ataques de denegacion de servicio basicos.

avanzado

Tamano de tu red

Determina los limites de conexiones SYN permitidas por segundo. Una red mas grande necesita limites mas altos para no bloquear trafico legitimo.

Control parental (bloqueo por horarios)

Bloquea el acceso a internet para dispositivos especificos durante la noche.

para hogares

IPs a controlar (una por linea)

Horario de bloqueo

Ej: 22:00 a 07:00 = sin internet de noche

NAT — Conectar tu Red a Internet

NAT (Network Address Translation) permite que todos tus dispositivos internos compartan una sola IP publica para salir a internet.

Regla base (siempre incluida)

/ip firewall nat

masquerade chain=srcnat out-interface-list=WAN # Compartir internet

Que mas necesitas? (opcional)

Abrir puertos (Port Forwarding)

Redirige puertos de tu IP publica a dispositivos internos. Util para camaras, servidores, juegos, etc.

muy comun

Puerto Ext.	IP Interna	Puerto Int.	Proto	Descripcion

Forzar que todos usen tu DNS

Redirige todas las consultas DNS (puerto 53) al router, evitando que los usuarios usen DNS externos. Util para filtrado de contenido.

recomendado

Hairpin NAT (acceso interno por IP publica)

Permite que dispositivos internos accedan a servidores internos usando la IP publica. Necesario si usas port forwarding y quieres acceder desde la LAN.

avanzado

Script Completo

Como aplicar estas reglas

Abre Winbox o WebFig y conectate a tu router
Ve a System > Terminal (o usa SSH)
IMPORTANTE: Activa el Safe Mode presionando Ctrl+X en el terminal. Si pierdes la conexion, el router revertira los cambios automaticamente cuando detecte que Winbox se desconecto.
Metodo 1 - Copiar y pegar: Pega el script completo en el terminal y presiona Enter
Metodo 2 - Importar archivo: Descarga el script (.rsc), subelo al router via FTP/Files, y ejecuta: /import file-name=firewall.rsc
Verifica que sigues teniendo acceso al router
Si todo funciona, desactiva Safe Mode con Ctrl+X nuevamente

Que hacer si pierdes acceso

Si activaste Safe Mode: NO es necesario esperar. Cuando Winbox detecte que se desconecto, el router revertira los cambios automaticamente de inmediato.
Conexion por MAC: Si pierdes acceso por IP, usa MAC-Winbox para conectarte por la direccion MAC del router (funciona incluso sin configuracion de IP).
Si NO activaste Safe Mode: Conecta un cable al router directamente y accede por la IP por defecto (192.168.88.1)
Ultimo recurso: Manten presionado el boton de reset del router por 5 segundos para restaurar la configuracion de fabrica

FIREWALL GENERATOR

Como aplicar estas reglas

Que hacer si pierdes acceso