Proxy transparente para control de acceso con Mikrotik
Configurar un proxy transparente con Mikrotik para realizar control de acceso es extremadamente simple. La primer acción a tomar es habilitar el servicio en el equipo e inmediatamente restringir el acceso al puerto donde se ejecuta el proxy, para evitar que el equipo sea utilizado por usuarios no autorizados. El paso siguiente es crear una regla de NAT que redirija todo el tráfico destinado al puerto 80 al puerto donde esté escuchando el proxy. Esta regla es precisamente la que hace que el proxy sea transparente.
[admin@MikroTik] > ip proxy set enabled=yes port=8080 [admin@MikroTik] > ip firewall filter add chain=input action=accept protocol=tcp dst-port=8080 src-address=192.168.1.0/24 comment="Proxy para LAN" [admin@MikroTik] > ip firewall nat add in-interface=LAN dst-port=80 protocol=tcp action=redirect to-ports=8080 chain=dstnat
Finalmente, se deben escribir las reglas para restringir los sitios que se desee. En este caso se permiten todos los sitios con excepción de los que están explícitamente denegados, que son Facebook y Twitter.
[admin@MikroTik] > ip proxy access add dst-host=www.facebook.com action=deny [admin@MikroTik] > ip proxy access add dst-host=twitter.com action=deny
Habilitar SNMP en Mikrotik
Los routerboard Mikrotik incluyen la posibilidad de monitorearlos utilizando SNMP de forma muy sencilla, como puede verse a continuación.
[user@core-gateway] > snmp set enabled=yes contact="root@netstorming" location="communications-room" trap-community=public
[user@core-gateway] > snmp print
enabled: yes
contact: "root@netstorming"
location: "communications-room"
engine-id: ""
engine-boots: 0
time-window: 15
trap-sink: 0.0.0.0
trap-community: public
trap-version: 1
[user@core-gateway] > snmp community print
# NAME ADDRESS SECURITY READ-ACCESS
0 public 0.0.0.0/0 none yes
[user@core-gateway] > snmp community set 0 address=172.16.30.2
[user@core-gateway] > snmp community print
# NAME ADDRESS SECURITY READ-ACCESS
0 public 172.16.30.2/32 none yes
En los comandos anteriores puede verse que se habilita SNMP, se utiliza la comunidad por defecto public que nos permite consultar diferentes MIBS al equipo y se la restringe para que sólo se la pueda consultar desde la IP 172.16.30.2 que es la IP del servidor de monitoreo.
Se puede constatar que lo anterior funcione correctamente ejecutando el comando snmpwalk en dicho servidor:
scarlet:~ leandro$ snmpwalk -v1 -c public 172.16.30.1 SNMPv2-MIB::sysDescr.0 = STRING: router SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.14988.1 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (29815700) 3 days, 10:49:17.00 SNMPv2-MIB::sysContact.0 = STRING: root@netstorming SNMPv2-MIB::sysName.0 = STRING: core-gateway SNMPv2-MIB::sysLocation.0 = STRING: communications-room SNMPv2-MIB::sysServices.0 = INTEGER: 78 ...
La salida es mucho más extensa que lo que se muestra, pero si se obtiene algo de lo anterior entonces se puede asumir que SNMP está funcionando correctamente en el equipo y que el servidor es capaz de obtener la información que necesita.
Watchdog en Mikrotik
Suele ocurrir que en determinadas circunstancias un enlace deja de funcionar y su causa es algún problema en uno de los equipos. Muchas veces, en estos casos, el problema se soluciona simplemente reiniciando los mismos. Para ello, Mikrotik tiene una utilidad que realiza este trabajo automáticamente y nos permite enviar un email si ha tenido que hacerlo.
En el siguiente ejemplo se ve cómo se configura el watchdog para que el equipo se reinicie en una de dos situaciones: si sufre un kernel panic y si una determinada IP deja de ser alcanzable.
[admin@MikroTik] > system watchdog set watch-address=192.168.1.2 reboot-on-failure=yes
Modo seguro en Mikrotik
Muchas veces es necesario configurar algún parámetro en un equipo Mikrotik de forma remota. El riesgo de esto es que si cometemos un error, como por ejemplo una regla de firewall mal aplicada, podemos perder la conexión con el equipo, lo que supondría tener que ir físicamente al lugar donde está. Esto último no sólo es incómodo sino que además puede implicar dejar sin servicio a quiénes dependan del equipo afectado.
Para evitar esto contamos con el modo seguro de Mikrotik. Para activarlo basta sólo con apretar en la línea de comandos la combinación de teclas Ctrl+X. Lo bueno del modo seguro es que el equipo es capaz de detectar si nuestra conexión de consola dejó de funcionar y, en tal caso, vuelve hacia atrás los cambios, permitiéndonos seguir administrándolo. Si todo anda bien, luego de cambiar lo necesario, volvemos a presionar Ctrl+X y las modificaciones se almacenan. Veamos un ejemplo:
[leandro@MikroTik] >
[Safe Mode taken]
[leandro@MikroTik] <SAFE> system identity set name=Router
[leandro@Router] <SAFE>
[Safe Mode released]
[leandro@Router] >
Mikrotik User Meeting 2009
Los días 27 y 28 de noviembre se llevará a cabo el tradicional evento Mikrotik User Meeting (MUM) que patrocina la empresa. La idea del mismo es contar con una serie de exposiciones por parte de usuarios y especialistas en equipos de la marca, para tratar temas referentes al RouterOS y a las RouterBoard.
Además sirve como un excelente punto de intercambio de experiencias y para conocer gente que trabaja en el campo de las comunicaciones y las redes. Entre los expositores estará Maximiliano Dobladez, consultor e instructor certificado por Mikrotik.
El costo para los dos días que incluye las charlas y la comida es de U$S 30. Se pueden consultar los detalles del evento en Mikrotik Expert.
