Firewall Stateless (sin estado)

Estas reglas no siguen el estado de las conexiones y se aplican de manera independiente a cada paquete. Cada paquete se filtra según los criterios establecidos por la regla, independientemente de las conexiones previas.

Stateless por otro lado, no mantienen una tabla de estado y solo inspeccionan paquetes individuales en función de sus direcciones, puertos y encabezados de protocolo de origen y destino.

Operan como filtros de paquetes, tomando decisiones basadas únicamente en la información contenida en cada paquete.

Diferencia entre Firewall Stateful y Stateless

Ejemplos de reglas Stateless

En MikroTik RouterOS, las reglas stateless del firewall se crean sin tener en cuenta el estado de las conexiones, es decir, se aplican independientemente de las conexiones anteriores. Aquí hay algunos ejemplos de reglas stateless que podrían ser útiles en ciertos escenarios:

1. Permitir tráfico desde una dirección IP específica:

   /ip firewall filter add chain=forward src-address=192.168.1.100 action=accept

Esta regla permite el tráfico proveniente de la dirección IP 192.168.1.100 en la cadena de reenvío.

2. Permitir tráfico desde una subred específica:

   /ip firewall filter add chain=forward src-address=192.168.2.0/24 action=accept

Esta regla permite el tráfico desde la subred 192.168.2.0/24 en la cadena de reenvío.

3. Bloquear tráfico hacia una dirección IP específica:

   /ip firewall filter add chain=forward dst-address=203.0.113.10 action=drop

Esta regla bloquea todo el tráfico que se dirige a la dirección IP 203.0.113.10 en la cadena de      reenvío.

Estos son solo ejemplos y debes adaptar las reglas según tus necesidades específicas y la topología de tu red. Además, ten en cuenta que estas reglas son stateless, por lo que no tienen en cuenta el estado de las conexiones anteriores.

Ejemplos de reglas Stateful

En MikroTik RouterOS, las reglas stateful del firewall se centran en el estado de las conexiones, lo que significa que permiten o bloquean el tráfico basándose en el estado de la conexión. Aquí tienes algunos ejemplos de reglas stateful:

1. Permitir todo el tráfico saliente y las respuestas relacionadas:

   /ip firewall filter add chain=forward connection-state=established,related action=accept

Esta regla permite el tráfico que es parte de una conexión establecida o relacionada en la cadena de reenvío.

2. Permitir tráfico específico desde el exterior:

   /ip firewall filter add chain=forward in-interface=ether1 connection-state=new protocol=tcp dst-port=80 action=accept

Esta regla permite el tráfico TCP destinado al puerto 80 desde el exterior a través de la interfaz ether1 en la cadena de reenvío.

3. Bloquear tráfico entrante no solicitado:

   /ip firewall filter add chain=input connection-state=new action=drop

Esta regla bloquea todo el tráfico entrante que no es parte de una conexión establecida en la cadena de entrada.

4. Permitir tráfico ICMP entrante para solicitudes de ping:

   /ip firewall filter add chain=input connection-state=new protocol=icmp action=accept

Esta regla permite el tráfico ICMP entrante para solicitudes de ping en la cadena de entrada.

5. Bloquear tráfico hacia un puerto específico desde el exterior:

   /ip firewall filter add chain=input in-interface=ether1 connection-state=new dst-port=22 action=drop

Esta regla bloquea el tráfico entrante al puerto 22 (SSH) desde el exterior a través de la interfaz ether1 en la cadena de entrada.

Estos son solo ejemplos y debes ajustar las reglas según tus requisitos específicos y la configuración de tu red. Las reglas stateful son fundamentales para permitir el tráfico necesario y mantener la seguridad al bloquear el tráfico no deseado.