Es habitual que cuando configuramos nuestra red, usemos direccionamiento IP privado para identificar a nuestros equipos internos. Para que dicho direccionamiento privado sea capaz de alcanzar Internet, lo habitual es que usemos una única dirección IP pública con la que enmascarar a todos nuestros equipos. Este proceso se lleva a cabo mediante NAT (Network Address Translation o traducción de direcciones de red, también llamado enmascaramiento de IP), el cual es parte de las funciones de nuestro Firewall.
Cuando nuestros equipos internos inician las peticiones hacia el exterior, nuestro firewall se encarga de mantener en memoria una tabla que contiene tanto la dirección IP y puerto origen como la dirección IP y puerto de destino, permitiendo que las conexiones entrantes relacionadas a estas lleguen correctamente a su destino.
No ocurre lo mismo cuando una conexión se origina en Internet y pretende llegar hacia el interior de nuestra red. Por defecto, nuestros equipos internos no son accesibles directamente desde Internet. Como es evidente, si no existen reglas de redirección y la conexión no la ha originado ningún equipo interno, nuestro firewall no conoce donde enviar esa conexión, la cual irremediablemente no se establecerá.
Si necesitamos que alguno o varios de nuestros equipos tengan alguno o varios puertos accesibles directamente desde internet, debemos especificar reglas de redirección. Tradicionalmente, se le denomina “abrir puertos en el router” y consiste en redireccionar el tráfico proveniente de un determinado puerto o dirección IP externa (Internet) hacia un determinado puerto o dirección IP interna (LAN).
En este artículo vamos a tratar la forma de hacer estas redirecciones utilizando un equipo Mikrotik.
A continuación, vamos a ver algunos ejemplos:
Supongamos que usamos un rango de direccionamiento privado 192.168.1.0/24, que la IP privada de nuestro router usada como gateway por nuestros equipos es la 192.168.1.1, y que tenemos una cámara ip con IP 192.168.1.100 cuyo servicio de vídeo escucha en el puerto 80 tcp. Nuestro puerto WAN será el ether.
Primeramente, debemos acceder a nuestro Mikrotik mediante Winbox o vía web. Una vez hayamos entrado, nos dirigiremos al menú lateral izquierdo IP, Firewall, seguidamente iremos a la pestaña “NAT” y haremos ‘clic’ en el botón “+” para añadir una nueva regla.
En la pestaña “General” pondremos los datos WAN. En este paso es primordial tener en cuenta además del protocolo y el puerto, incluir sobre qué interfaz lo vamos a montar, por lo que incluiremos:
- Chain: dstnat (Reemplaza una dirección de destino y/o puerto de un paquete IP con parámetros específicos)
- Protocol: tcp (Protocolo usado por nuestra cámara)
- Dst.Port: 81 (Puerto público de destino asignado a la cámara. Este será el puerto que usemos para conectarnos a la cámara desde el exterior)
- In. Interface: ether1 (Interfaz de entrada. Debemos seleccionar la interfaz wan del equipo, en este caso ether1)
Después de introducir estos datos, nos dirigiremos a la pestaña “Action”, donde colocaremos los datos de LAN para redirigir el tráfico a una máquina interna:
- Action: dst-nat
- To Address: 192.168.1.100 (Dirección IP de nuestra cámara)
- To Ports: 80 (Indicamos el puerto interno que utiliza la cámara, en nuestro ejemplo, el 80)
El resumen de la regla en el formato de la consola de Mikrotik sería el siguiente:
- /ip firewall nat add chain=dstnat dst-port=81 protocol=tcp in-interface=ether1 action=dst-nat to-address=192.168.1.100 to-ports=80
Gracias a esta regla, todo el tráfico con puerto de destino 81 y protocolo TCP que llegue a nuestro equipo Mikrotik a través de la interfaz ether1, se redireccionará al puerto 80 y protocolo TCP de la IP privada 192.168.1.100.
Si nuestro equipo tuviese más de una dirección IP pública, podríamos hacer esta regla un poco más específica, si, en lugar de detallar la interfaz de destino, usamos la IP pública directamente, es decir:
- /ip firewall nat add chain=dstnat dst-port=81 protocol=tcp in-interface=ether1 dst-address=(ip pública deseada) action=dst-nat to-address=192.168.1.100 to-ports=80
Finalmente, cabe la posibilidad de ser más precisos aún si abrimos el puerto sólo para una determinada IP de origen, así podríamos añadir:
- /ip firewall nat add chain=dstnat dst-port=81 protocol=tcp in-interface=ether1 src-address=(IP origen) dst-address=(ip pública deseada) action=dst-nat to-address=192.168.1.100 to-ports=80
En conclusión, a la hora de abrir un puerto en nuestro equipo Mikrotik, existen dos aspectos a tener en cuenta; primeramente, qué condiciones debe cumplir este tráfico y, en segundo lugar, qué hacemos cuando esas condiciones son cumplidas.
Respecto a las condiciones, todas ellas están recogidas en la pestaña General y definen qué se debe cumplir, como por ejemplo: IP de origen, puerto público de destino, protocolo, etc.
Una vez que el tráfico ha cumplido las condiciones, intervendrá lo especificado en la pestaña Action, es decir, dirección de destino y/o puerto de destino.