Webinar incia en

0 Días
0 Horas
0 Minutos
0 Segundos

Webinar Gratuito

Introducción a Protocolo IPv6 con MikroTik RouterOS

Regístrate aqui

Cursos Certificación MikroTik

modalidad Autoestudio

¡ NUEVO ! ... MTCIPv6E (MikroTik Certified IPv6 Engineer)

MTCNA (Network Associate)

MTCTCE (Control de Tráfico y QoS)

MTCRE (Ruteo avanzado, OSPF, VRRP)

MTCINE (Internetworking, BGP, MPLS)

MTCSE (Seguridad Avanzada)

MTCSWE (Switching Avanzado)

Popular Keywords

Categories

No Record Found

View All Results
Facebook-f Twitter Linkedin Youtube Instagram Whatsapp
abcXperts by Academy Xperts - cursos y consultorías MikroTik y Ubiquiti

FastTrack y Connection Tracking en MikroTik: Acelerando el Rendimiento de tu Red

  • Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

El seguimiento de conexiones (Connection Tracking) en MikroTik RouterOS es una funcionalidad esencial que permite al núcleo del sistema rastrear todas las conexiones o sesiones de red lógicas.

Esta capacidad es fundamental para relacionar todos los paquetes que conforman una conexión específica, facilitando la implementación de funciones avanzadas de firewall y traducción de direcciones de red (NAT).

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Importancia del Seguimiento de Conexiones

  • NAT (Traducción de Direcciones de Red): El seguimiento de conexiones es vital para que NAT funcione correctamente, ya que garantiza que todos los paquetes relacionados con una conexión se traduzcan de manera coherente.
  • Firewall con Estado (Stateful Firewall): Permite que el firewall distinga entre diferentes estados de conexión, como nuevas, establecidas o relacionadas, incluso en protocolos sin estado como UDP.

Estados de Conexión

El seguimiento de conexiones clasifica los paquetes en varios estados:

  • Nuevo (new): Paquetes que inician una nueva conexión.
  • Establecido (established): Paquetes que pertenecen a una conexión existente.
  • Relacionado (related): Paquetes que están relacionados con una conexión existente, como mensajes de error ICMP o conexiones de datos FTP.
  • No rastreado (untracked): Paquetes que se han excluido del seguimiento de conexiones mediante reglas específicas.
  • Inválido (invalid): Paquetes que no corresponden a ninguna conexión conocida y, por lo general, deben ser descartados.

Configuración de Reglas de Firewall Basadas en Estados

Es común establecer reglas de firewall que acepten paquetes de conexiones establecidas o relacionadas, descarten paquetes inválidos y apliquen filtrado detallado solo a paquetes nuevos. Por ejemplo:

Estas reglas ayudan a optimizar el rendimiento del firewall y reducir la carga en la CPU.

				
					/ip firewall filter
add chain=input connection-state=invalid action=drop comment="Descartar conexiones inválidas"
add chain=input connection-state=established,related,untracked action=accept comment="Permitir conexiones establecidas, relacionadas y no rastreadas"

FastTrack

FastTrack es un manejador especial en RouterOS que permite un reenvío de paquetes más rápido al omitir ciertas funcionalidades del sistema operativo.

Se utiliza para conexiones TCP y UDP marcadas con la acción fasttrack-connection. Es importante tener en cuenta que no todos los paquetes de una conexión pueden ser procesados por FastTrack, por lo que es común seguir la regla de FastTrack con una regla de aceptación idéntica.

Configuración del Seguimiento de Conexiones

El seguimiento de conexiones se gestiona desde el menú /ip firewall connection tracking. Algunas propiedades clave incluyen:

  • enabled: Permite habilitar o deshabilitar el seguimiento de conexiones. El valor predeterminado es auto, lo que significa que el seguimiento está deshabilitado hasta que se agrega al menos una regla de firewall.
  • loose-tcp-tracking: Controla cómo se manejan las conexiones TCP que no han visto el paquete SYN inicial.
  • tcp-syn-sent-timeout: Tiempo de espera para conexiones TCP en estado SYN enviado.
  • udp-timeout: Especifica el tiempo de espera para conexiones UDP que han visto paquetes en una sola dirección.

Estas configuraciones permiten un control detallado sobre cómo RouterOS maneja y rastrea las conexiones de red.

Visualización de Conexiones Rastreadas

Es posible ver la lista de conexiones rastreadas utilizando los comandos /ip firewall connection para IPv4 y /ipv6 firewall connection para IPv6. Estos comandos muestran detalles como la dirección de origen y destino, el estado de la conexión y el tiempo de espera restante.

El seguimiento de conexiones en MikroTik RouterOS es una herramienta poderosa que permite una gestión eficiente y segura del tráfico de red, facilitando la implementación de políticas de firewall avanzadas y una traducción de direcciones de red coherente.

Configuración de FastTrack

FastTrack es una funcionalidad en RouterOS que permite el procesamiento acelerado de paquetes al omitir ciertas operaciones del sistema, como el firewall y el seguimiento de conexiones. Para habilitar FastTrack, se debe agregar una regla en el firewall que marque las conexiones establecidas y relacionadas:

Es importante seguir la regla de FastTrack con una regla de aceptación idéntica para garantizar que los paquetes que no pueden ser procesados por FastTrack sean manejados correctamente.

				
					/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connection-state=established,related

Consideraciones al Deshabilitar el Seguimiento de Conexiones

Deshabilitar el seguimiento de conexiones puede mejorar el rendimiento en ciertos escenarios, pero también desactiva funcionalidades críticas como NAT y reglas de firewall basadas en el estado de la conexión. Por lo tanto, es esencial evaluar cuidadosamente las necesidades de la red antes de deshabilitar esta función.

Sincronización de Seguimiento de Conexiones en Configuraciones de Alta Disponibilidad

En entornos que utilizan VRRP (Protocolo de Redundancia de Enrutador Virtual), RouterOS v7 admite la sincronización del seguimiento de conexiones entre routers maestro y de respaldo. Para habilitar esta sincronización, se debe configurar la opción sync-connection-tracking en ambos routers:

				
					/interface vrrp
set [find] sync-connection-tracking=yes

Además, es necesario asegurarse de que el seguimiento de conexiones esté habilitado:

				
					/ip firewall connection tracking
set enabled=yes

Esta configuración garantiza que, en caso de conmutación por error, las conexiones existentes se mantengan activas y sin interrupciones.

Monitoreo y Gestión de Conexiones

RouterOS proporciona herramientas para monitorear y gestionar las conexiones rastreadas. A través del comando /ip firewall connection, los administradores pueden visualizar detalles como:

  • Direcciones IP de origen y destino
  • Estado de la conexión (por ejemplo, establecida, relacionada)
  • Protocolo utilizado
  • Tiempo restante antes de que la conexión expire

Esta información es invaluable para diagnosticar problemas de red y optimizar el rendimiento.

Conclusión

El seguimiento de conexiones en MikroTik RouterOS es una característica fundamental que permite una gestión eficiente y segura del tráfico de red. Comprender su funcionamiento y configuración es esencial para aprovechar al máximo las capacidades de RouterOS y garantizar una operación de red óptima.

Breve cuestionario de conocimientos

¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?

QUIZ - FastTrack y Connection Tracking en MikroTik: Acelerando el Rendimiento de tu Red

Libros recomendados para éste artículo

Etiquetas: Firewall stateful, Seguimiento de conexiones, FastTrack configuración, MikroTik RouterOS, Reglas de Firewall, Optimización de red, Connection Tracking, FastTrack, NAT MikroTik, VRRP MikroTik

Autoestudio MikroTik

Estudia las certificaciones MikroTik a tu propio ritmo

Autoestudio

Aprende a tu propio ritmo

advertisement (anuncio)

Artículos Relacionados

MikroLABs

Otros temas que te pueden interesar

advertisement (anuncio)

Anuncia tu marca aquí - Escríbenos por WhatsApp (+593 98 700 0604) - abcXperts / Academy Xperts
Escríbenos por WhatsApp (+593 98 700 0604)

¿Quieres sugerir un tema?

Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Tema para el proximo Blog

Próximos Cursos

Libros MikroTik (español)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

MONARC Latin America: Soluciones Tecnológicas - Guatemala.
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear

AcademyXperts BETA 1.0

Tu asistente virtual de AcademyXperts

Cuéntanos un poco sobre tí.

Así podremos darte la mejor recomendación

El teléfono no es válido

Confírmanos tus datos

Nuestros horarios son de Lunes a Viernes de 9:00 AM a 6:00 PM.

Atención: Lunes a Viernes de 9:00 AM a 6:00 PM (Ecuador GMT-5).