Mangle y Raw en MikroTik: Qué son, cómo funcionan y ejemplos prácticos

Por /

Cuando administras un router MikroTik, una de las grandes fortalezas es el control detallado del tráfico mediante el firewall. Y ahí aparecen dos tablas poderosas pero poco entendidas: Mangle y Raw. En este artículo te explico desde lo básico hasta lo avanzado cómo funcionan, para que puedas sacarles el máximo partido en tu red.

🔧 ¿Qué es Mangle?

La tabla Mangle permite marcar, clasificar y modificar paquetes mientras atraviesan el router. No bloquea tráfico directamente, sino que asigna etiquetas (marcas) que luego puedes usar en reglas de routing, queues, o scripts.

🧩 Usos comunes

  • Priorizar tráfico (QoS)
  • Hacer balanceo de carga
  • Rutas dinámicas por tipo de tráfico
  • Identificar usuarios o protocolos específicos
  • Limitar ancho de banda por contenido

🎓 Ejemplo sencillo

/ip firewall mangle
add chain=prerouting protocol=tcp dst-port=443 \
    content="youtube" action=mark-connection new-connection-mark=youtube-traffic

Este ejemplo etiqueta todo el tráfico que contenga «youtube» en su contenido para poder aplicarle reglas específicas después.

🧪 ¿Qué es Raw?

La tabla Raw actúa como un filtro ultra rápido, bloqueando paquetes antes de que pasen por NAT, Mangle o Filter. Es ideal para eliminar tráfico indeseado sin consumir recursos.

🛡️ Usos comunes

  • Bloqueo de IPs maliciosas
  • Filtrado de escaneos o ataques
  • Eliminar multicast innecesario
  • Optimizar CPU en redes congestionadas

🎓 Ejemplo sencillo

/ip firewall raw
add chain=prerouting protocol=udp dst-port=137,138 action=drop

Esto elimina tráfico NetBIOS que suele ser ruido en redes LAN.

🛫 Analogía sencilla

Imagina que tu MikroTik es un aeropuerto:

TablaQué haceComparación
RawBloquea antes de entrarControl de seguridad en la puerta
MangleEtiqueta para tratar mejor el tráficoEtiquetado de maletas para rutas VIP, carga frágil, etc.

📊 Tipos de marca en Mangle

  • mark-connection: etiqueta toda una conexión.
  • mark-packet: marca cada paquete individual.
  • mark-routing: usado para enviar tráfico por rutas distintas.

Usarlas bien te permite hacer maravillas como balancear tráfico, priorizar videollamadas o limitar torrents.

🔁 Ejemplos avanzados

1. Balanceo de tráfico de streaming hacia WAN2

/ip firewall mangle
add chain=prerouting protocol=tcp dst-port=443 content="netflix" \
    action=mark-connection new-connection-mark=stream-traffic
add chain=prerouting connection-mark=stream-traffic \
    action=mark-routing new-routing-mark=to_WAN2

2. Prioridad para usuarios VIP

/ip firewall address-list
add address=192.168.1.10 list=grupo_vip

/ip firewall mangle
add chain=forward src-address-list=grupo_vip protocol=udp dst-port=3478 \
    action=mark-connection new-connection-mark=vip-call
add chain=forward connection-mark=vip-call \
    action=mark-packet new-packet-mark=high_priority

3. Limitación de tráfico por horario

/ip firewall mangle
add chain=prerouting protocol=tcp dst-port=6881-6999 time=22h-06h \
    action=mark-connection new-connection-mark=nocturnal-torrent
add chain=prerouting connection-mark=nocturnal-torrent \
    action=mark-packet new-packet-mark=low_priority

🧼 Ejemplos avanzados con Raw

1. Bloqueo de IPs maliciosas

/ip firewall address-list
add list=blacklist address=123.123.123.123

/ip firewall raw
add chain=prerouting src-address-list=blacklist action=drop

2. Eliminar multicast y NetBIOS

/ip firewall raw
add chain=prerouting protocol=udp dst-port=137,138 action=drop
add chain=prerouting dst-address=224.0.0.0/4 action=drop

3. Filtrado de escaneos de puertos

/ip firewall raw
add chain=prerouting protocol=tcp tcp-flags=syn,fin action=drop
add chain=prerouting protocol=tcp tcp-flags=fin,urg,psh action=drop

🔄 Estrategia combinada

  1. Raw bloquea tráfico peligroso desde el inicio.
  2. Mangle etiqueta y organiza tráfico útil.
  3. Queue Trees aplican prioridad según marcas.
  4. Scripts automatizan tareas de limpieza y adaptación.

🧠 Script de auto-blacklist

/system script
add name=auto_blacklist policy=read,write source="
:foreach i in=[/ip firewall connection find protocol=tcp] do={
  :if ([/ip firewall connection get \$i tcp-state] = \"syn-sent\") do={
    /ip firewall address-list add list=blacklist address=[/ip firewall connection get \$i src-address]
  }
}"

🧭 Conclusión

Mangle y Raw pueden parecer complejos al inicio, pero una vez que los entiendes, se convierten en herramientas clave para el control profundo de tu red. Desde bloquear amenazas antes de que consuman CPU hasta marcar y priorizar tráfico importante, su dominio te da poder total en tu MikroTik.

Entradas relacionadas

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
WordPress Appliance - Powered by TurnKey Linux