Mi Blog

No te olvides seguirme en Facebook.

Tan solo tienes que hacer click en Me Gusta

 

 

x

⋆ Cómo bloquear páginas web con Mikrotik y RouterOS

⋆ Cómo bloquear páginas web con Mikrotik y RouterOS

(Tiempo estimado: 4 - 8 minutos)

Controlar el acceso a determinadas páginas Web con Mikrotik y RouterOS, es sumamente sencillo gracias al filtrado de páginas en la Capa 7 del nivel OSI. El uso de expresiones regulares nos facilita filtrar exactamente lo que queremos.

Seguid leyendo y os enseñaré cómo podéis bloquear las páginas Web que necesitéis para los usuarios de vuestra red...

 

 

¿QUÉ ES MIKROTIK?

MikroTik, es una compañía letona proveedora de tecnología disruptiva de hardware y software para la creación de redes. Mikrotik RouterOS es un software que funciona como un Sistema Operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router dedicado. MikroTik se dedica principalmente a la venta de productos de hardware de red como routers denominados routerboards y switches también conocidos por el software que lo integra, denominado RouterOS y SwOS. La compañía fue fundada en el 1995, aprovechando el emergente mercado de la tecnología inalámbrica.


RouterOS es un sistema operativo basado en el núcleo Linux, el cual implementa funcionalidades que los NSP e ISP tienden a implementar, como por ejemplo BGP, IPv6, OSPF o MPLS. Es un sistema versátil, con un gran soporte por parte de MikroTik, tanto a través de un foro como en su Wiki, proporcionando una amplia variedad de ejemplos de configuración. La venta de RouterOS, combinado con su línea de productos de hardware conocida como MikroTik RouterBOARD, está enfocada a los pequeños y medianos proveedores de acceso a Internet, que normalmente proporcionan acceso de banda ancha en áreas remotas.

 

Web: https://mikrotik.com/

 

 

Con MikroTik podemos bloquear webs no deseadas

 

 

1.- ELEMENTOS NECESARIOS PARA ESTE TUTORIAL

  • Un equipo con RouterOS (PC o Routerboard)
  • Otro PC con cualquier sistema operativo
  • Conexión a Internet (obligatorio)

 

 

2.- REQUISITOS INICIALES

Para seguir este tutorial, es necesario tener montada una red similar a la que se ve en la siguiente imagen. Todas las conexiones web deberán pasar por nuestro equipo Mikrotik para poder realizar el filtrado de las páginas webs. Básicamente los PCs clientes deben salir a través de un equipo Mikrotik o cualquier otro equipo corriendo RouterOS y hacer NAT de las conexiones. Seguid el siguiente tutorial si necesitáis realizar una configuración desde cero: Cómo compartir Internet con Mikrotik y RouterOS:

Bloquear Páginas Webs MikrotikRed ejemplo

 

 

 

 

3.- CONFIGURACIÓN DE LAS REGLAS DE BLOQUEO

La configuración la realizaremos graficamente, aunque también es posible desde línea de comandos y también es muy sencillo realizarla de esa forma. Desde Winbox, haremos click en el menú principal en IP->Firewall para abrir la configuración del cortafuegos del equipo:

Bloquear Páginas Webs MikrotikIP->Firewall

 

 

Una vez estemos en la ventana del Firewall, las reglas ó patrones serán añadidas dentro de la pestaña Layer 7 Protocols y en el símbolo +:

Bloquear Páginas Webs MikrotikLayer 7 Protocols

 

 

Las reglas admiten el formato de las Expresiones Regulares habituales.

Por ejemplo, si queremos bloquear cualquier página de facebook.com, podemos utilizar la siguiente expresión regular (aunque no es la ideal).

^.*facebook.com.*$

 

Si queremos bloquear Facebook, Twitter, WhatsApp, Linkedin, Telegram etc .... en una sola línea, la expresión regular a utilizar puede ser la siguiente (existen muchas posibilidades):

^.*(facebook|twitter|linkedin|whatsapp|telegram|instagram)[.]+.*$

Bloquear Páginas Webs MikrotikRegla de filtrado

 

 

Las expresiones regulares son un mundo aparte y si necesitáis un control mas exacto podéis visitar esta url: Cómo usar expresiones regulares.  En la siguiente ventana se puede ver como ha quedado añadida a nueva regla de nombre "redessociales" para identificarla mejor:

Bloquear Páginas Webs MikrotikRegla añadida al Firewall

 

 

Una página web donde podéis probar vuestras Expresiones Regulares es https://regex101.com/. La web es muy fácil de utilizar, en la parte superior se escribe la expresión regular y en el parte inferior las cadenas de texto a evaluar.

Bloquear Páginas Webs MikrotikProbando reglas en Regex101.com

 

 

Ahora tenemos que añadir una nueva regla de filtrado de Firewall a la cual le asociaremos el patrón creado anteriormente y denegaremos todos los paquetes que coincidan. Para ello, desde la ventana de Firewall haremos click en el símbolo + en la pestaña "Filter Rules":

Bloquear Páginas Webs MikrotikAñadir nueva regla de filtrado

 

 

En la pestaña general, deberemos configurar la nueva regla como tipo "forward", el rango de IPS será nuestra LAN local (10.10.10.0/24) y la interfaz por la que entrarán los paquetes será la LAN:

Bloquear Páginas Webs MikrotikPestaña General

 

En la siguiente pestaña "Advanced" y en el campo "Layer7 Protocol", seleccionaremos nuestra regla "redessociales":

Bloquear Páginas Webs MikrotikPestaña Avanzado

 

 

En la pestaña "Action", marcaremos la acción para los paquetes "drop" y guardaremos la regla en OK:

Bloquear Páginas Webs MikrotikPestaña Acción

 

 

En el listado de reglas del firewall podremos ver nuestra nueva regla creada. Debemos tener en cuenta que las primeras reglas en el listado tienen preferencia frente a las inferiores:

Bloquear Páginas Webs MikrotikRegla creada de filtrado

 

 

Una vez finalizados todos los pasos anteriores, es momento de probar desde nuestros equipos clientes de la LAN si el tráfico es denegado. Buena suerte!

 

 

ENJOY!


Raúl Prieto Fernández

Sitio Web: raulprietofernandez.net

Si quieres ir rápido, ve solo. Si quieres llegar lejos, ve acompañado.

Comentarios  

luis
# luis 20-05-2020 21:37
Hola Raul, excelente blog

muy educativo y bien explicado con sus imagenes y todo, funciona perfecto el bloqueo de laspaginas ya tengo varias reglas y en los layers.

ahora te consulto algo, tengo 2 ISP (proveedores de internet) en la oficina, y adiconal tengo 2 redes o segmentos diferentes por ejemplo: (LAN1) 192.168.1.100 y (LAN2) 192.168.3.100, ambas quiero que naveguen con diferentes ISP, es decir, LAN1 con la WAN1 y LAN 2 con LA WAN2, y a su vez me es necesario que desde los pc se vean ambas redes porque comparten carpetas o se meten en servidores respectivamente, pero quiero mantener los segmentos por separado junto con la navegación, poseeo 1 solo mikrotik RB3011 (son de 10 puertos) como pudieras ayudarme con este caso. Pudieras hacer un tutorial como estos que haces?? gracias por tu ayuda.
Responder
Raúl Prieto Fernández
# Raúl Prieto Fernández 03-07-2020 11:33
Hola luis:

Pues así de forma rápida se me ocurre que la opción rápida ( no la que mejor rendimiento ofrece ) sería hacer NAT entre las 2 redes en el Firewall del Mikrotik, es decir:

1.- Todo lo que venga de la LAN1, con destino la LAN2, hay que hacer NAT y enviar el tráfico por la interfaz que conecta con la LAN2.
2.- Todo lo que venga de la LAN2, con destino la LAN1, hay que hacer NAT y enviar el tráfico por la interfaz que conecta con la LAN1.

Es bastante sencillo si lo haces con NAT, hay muchos tutoriales pro internet, pero si tienes un poco de conocimiento es similar (que no igual) al tutorial de Compartir Internet que hice hace tiempo:

https://www.raulprietofernandez.net/blog/mikrotik/como-configurar-mikrotik-routeros-para-compartir-el-acceso-a-internet

Saludos
Responder
pitosballa
# pitosballa 16-06-2020 10:07
Perfectamente explicad. Perot engo una pregunta. ¿y si solo quiero bloquear una maquina el acceso a redes sociales?, ¿donde tendria que poner la ip de la maquina?, ¿Tambien en source list?.

Muchas gracias
Responder
Raúl Prieto Fernández
# Raúl Prieto Fernández 16-06-2020 10:22
Hola pitosballa:

Si quieres filtrar solamente a un equipo, en lugar de poner 10.10.10.0/24 como en el ejemplo de esta página, tendrías que poner 10.10.10.23 (la ip del equipo).

Por ejemplo, en una red LAN "normal", si un equipo tiene la IP 192.168.1.25, tendrías que poner esa IP en el campo: Src. Address de la regla del firewall.

Saludos
Responder
Luis
# Luis 14-07-2020 21:02
Buenas tardes.

He realizado todo los pasos que indicas pero de igual manera siguen navegando en las paginas que bloqueo, sabes que podria hacer ?
Utilizamos el navegador Chrome.

saludos.
Responder
Raúl Prieto Fernández
# Raúl Prieto Fernández 15-07-2020 11:56
Hola Luis:

Pues así sin poder verlo en directo o hacer pruebas no sé por qué puede ser. Es posible que las reglas del firewall estén mal o que realmente los equipos clientes no estén pasando por el Mikrotik o que primero pasen por otra regla de firewall...

Sin verlo, es casi imposible saber el fallo.

Saludos
Responder
Oscar
# Oscar 11-09-2020 23:20
Hola, gracias por tu genial tutorial, pero, quisiera que de mi red, una de las maquinas si tenga acceso a estas páginas bloqueadas, como podría hacer en ese caso?
Responder

Escribir un comentario

Código de seguridad
Refescar

¿Necesitas una web para tu negocio?

Yo te la hago!

Si necesitas una Web para tu negocio, atractiva, llamativa y funcional, no lo dudes y contacta conmigo. Me adapto a cualquier requisito para tu negocio.