(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
Cómo funciona el Connection Tracking en MikroTik
- Ingrid Espinoza
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
El Connection Tracking en MikroTik es uno de los componentes más importantes del firewall de RouterOS. Gracias a esta función, el router puede seguir el estado de cada conexión de red, lo que permite aplicar reglas inteligentes de seguridad, NAT y control de tráfico.
En esta guía te explicaré qué es el Connection Tracking, cómo funciona, sus estados, cómo verlo en MikroTik y cómo afecta al rendimiento del router, incluyendo ejemplos prácticos de uso en redes reales.
Qué es el Connection Tracking en MikroTik
El Connection Tracking es una función del kernel que permite al router mantener una tabla con todas las conexiones activas que pasan por él.
Cada vez que un dispositivo inicia comunicación con otro equipo en Internet o dentro de la red, el router crea una entrada en la tabla de conexiones donde guarda información como:
Dirección IP de origen
Dirección IP de destino
Puerto de origen y destino
Protocolo utilizado (TCP, UDP, ICMP)
Estado de la conexión
Cantidad de paquetes enviados y recibidos
Gracias a esta información, el router puede identificar qué paquetes pertenecen a una conexión ya existente y tomar decisiones más rápidas y seguras.
Esto es fundamental para el funcionamiento de varias características del firewall de MikroTik como:
NAT (Network Address Translation)
Firewall stateful
Connection marks
QoS
FastTrack
Análisis de tráfico
Cómo funciona el Connection Tracking en RouterOS
Cuando un paquete atraviesa el router, RouterOS verifica si ese paquete pertenece a una conexión existente o si está iniciando una nueva.
El proceso funciona de la siguiente manera:
Un dispositivo envía un paquete a Internet.
El router revisa si ya existe una conexión en la tabla.
Si no existe, crea una nueva entrada en el Connection Tracking.
Los paquetes siguientes se asocian a esa conexión.
Esto permite que el router reconozca automáticamente el tráfico de respuesta, incluso cuando se utilizan protocolos sin estado como UDP.
En otras palabras, el router no analiza cada paquete desde cero, sino que recuerda la sesión completa, lo que mejora la eficiencia del firewall.
Estados de conexión en MikroTik
Cada paquete que pasa por el router recibe un estado de conexión. Estos estados permiten aplicar reglas de firewall de manera más eficiente.
Los principales estados son:
NEW
El estado NEW indica que un paquete está iniciando una nueva conexión.
Ejemplo:
Cuando un usuario abre una página web, el navegador envía el primer paquete TCP al servidor. Ese paquete será marcado como NEW.
ESTABLISHED
Una conexión ESTABLISHED indica que la comunicación ya fue establecida y que ambos dispositivos están intercambiando datos.
Este es el estado más común cuando:
Navegas por Internet
Descargas archivos
Usas aplicaciones en línea
Por esta razón, muchas configuraciones de firewall incluyen una regla como:
connection-state=established,related action=accept
Esto permite que el router procese rápidamente el tráfico legítimo.
RELATED
El estado RELATED se utiliza cuando una conexión está relacionada con otra ya existente.
Ejemplo típico:
Una conexión FTP puede abrir conexiones adicionales para transferencia de datos.
Algunos paquetes ICMP de error también se consideran relacionados.
INVALID
Un paquete es INVALID cuando el router no puede asociarlo a ninguna conexión existente.
Esto puede ocurrir cuando:
llega tráfico corrupto
existe tráfico malicioso
hay rutas asimétricas
En muchas configuraciones de firewall se bloquea este tipo de tráfico:
connection-state=invalid action=drop
UNTRACKED
Este estado aparece cuando una conexión se excluye del seguimiento usando reglas RAW.
Se utiliza en algunos escenarios avanzados para mejorar el rendimiento del router.
Estados TCP dentro del Connection Tracking
Además del estado general de conexión, RouterOS también puede mostrar el estado del protocolo TCP.
Algunos de los más comunes son:
syn-sent
El cliente envía un paquete SYN para iniciar la conexión.
syn-received
El servidor responde con SYN-ACK.
established
La conexión ya está completamente establecida.
fin-wait
La conexión está cerrándose.
time-wait
El sistema espera para asegurarse de que todos los paquetes hayan llegado.
close
La conexión ha terminado completamente.
Estos estados ayudan al router a gestionar correctamente el ciclo de vida de cada conexión.
Para qué sirve el Connection Tracking en redes MikroTik
El Connection Tracking tiene múltiples aplicaciones en redes reales.
Firewall stateful
Permite crear un firewall basado en estados, lo que significa que el router puede permitir o bloquear tráfico dependiendo del estado de la conexión.
Esto mejora significativamente la seguridad.
NAT
El NAT depende completamente del Connection Tracking.
El router necesita saber qué paquetes pertenecen a una conexión para poder traducir correctamente las direcciones IP.
Sin Connection Tracking, NAT no funcionaría.
Análisis de tráfico de red
El Connection Tracking también permite analizar el tráfico que fluye por la red.
En mi caso, cuando administro redes con MikroTik suelo revisar la tabla de conexiones para identificar qué tipo de tráfico están generando los clientes.
Por ejemplo, es posible ver:
qué destinos están utilizando
qué protocolos están usando
cuánto tráfico está generando cada conexión
Esto ayuda a entender mejor el comportamiento de los usuarios dentro de la red.
Verificación de reglas Mangle
Otra utilidad práctica es verificar reglas de marcado de conexiones.
Cuando se configuran reglas de mangle para marcar conexiones, es posible revisar la tabla de conexiones y comprobar si aparece el connection-mark que configuramos.
Esto permite validar fácilmente si la clasificación de tráfico está funcionando correctamente.
Cómo ver las conexiones activas en MikroTik
Para ver todas las conexiones activas en el router puedes usar el siguiente comando:
/ip firewall connection print
La tabla mostrará información como:
dirección origen
dirección destino
protocolo
estado TCP
tiempo de expiración
También puedes ver:
bytes enviados
paquetes
fasttrack
connection marks
Esta herramienta es muy útil para diagnóstico de red y troubleshooting.
FastTrack y Connection Tracking
FastTrack es una función que permite acelerar el procesamiento de paquetes en MikroTik.
Cuando una conexión se marca como FastTrack:
se salta parte del firewall
evita algunos procesos del sistema
mejora el rendimiento del router
Sin embargo, los paquetes FastTrack pueden bypass ciertos procesos como queues o mangle, por lo que es importante usarlo con cuidado.
Un ejemplo típico de configuración sería:
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connection-state=established,related
Impacto del Connection Tracking en el rendimiento del router
Aunque es una herramienta muy poderosa, el Connection Tracking también puede consumir recursos.
Cada conexión requiere memoria y procesamiento.
En redes con mucho tráfico o ataques de red, el número de conexiones puede crecer rápidamente.
En algunas ocasiones he visto que, cuando ocurre un ataque DoS, el número de conexiones aumenta de forma masiva y el uso de CPU del router puede llegar al 100%, lo que puede afectar seriamente el rendimiento del equipo.
Por esta razón es importante:
usar reglas de firewall optimizadas
limitar conexiones sospechosas
utilizar FastTrack cuando sea posible
Ventajas y desventajas del Connection Tracking
Ventajas
Permite firewall stateful
Hace posible el NAT
Permite análisis detallado del tráfico
Facilita el control de conexiones
Mejora la seguridad de la red
Desventajas
Consume recursos del router
Puede afectar el rendimiento en redes muy grandes
Requiere configuración adecuada para evitar problemas
Conclusión
El Connection Tracking en MikroTik es una de las piezas fundamentales del funcionamiento del firewall de RouterOS. Gracias a esta función, el router puede seguir el estado de cada conexión, aplicar reglas de seguridad inteligentes y gestionar correctamente el NAT.
Además de mejorar la seguridad, también permite analizar el tráfico de la red, diagnosticar problemas y verificar configuraciones avanzadas como reglas de mangle o QoS.
Aunque puede consumir recursos en redes con mucho tráfico, cuando se configura correctamente se convierte en una herramienta esencial para la administración de redes con MikroTik.
Preguntas Frecuentes
¿Qué es el Connection Tracking en MikroTik?
Es un sistema que permite al router seguir el estado de cada conexión de red que atraviesa el dispositivo.
¿Para qué sirve el Connection Tracking?
Se utiliza para firewall stateful, NAT, análisis de tráfico y control de conexiones.
¿Cómo ver las conexiones activas en MikroTik?
Con el comando:
/ip firewall connection print
¿Connection Tracking afecta el rendimiento?
Sí, puede consumir CPU y memoria en redes con muchas conexiones, especialmente durante ataques o picos de tráfico.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Libro Conceptos Fundamentales de MikroTik, RouterOS v7
Material de estudio para el Curso de Certificación MTCNA, actualizado a RouterOS v7
$19,97
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
En qué consiste el ataque KRACK (Key Reinstallation Attacks)
abril 28, 2026
Qué es y cómo funcionan el FTP Activo y el FTP Pasivo
abril 27, 2026
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear