En la era moderna, la necesidad de controlar el acceso a internet se ha vuelto primordial, ya sea para proteger a los miembros más jóvenes de la familia de contenido inapropiado, mejorar la privacidad en línea o simplemente optimizar el uso de la red para tareas específicas. La capacidad de bloquear sitios web y, en escenarios más avanzados, direcciones IP externas, ofrece un nivel de control significativo. Este artículo profundiza en los métodos para lograr estas restricciones, abordando tanto las funcionalidades comunes de los routers domésticos como los requisitos más especializados de entornos empresariales.
Accediendo a la Configuración de su Router
El primer paso fundamental para implementar cualquier tipo de bloqueo o restricción en su red es acceder a la interfaz de administración de su router. Este proceso generalmente comienza abriendo un navegador web y escribiendo la dirección IP de su router en la barra de direcciones. Las direcciones IP más comunes para routers son 192.168.1.1 o 192.168.0.1.
Una vez que haya ingresado la dirección IP de su router, se le presentará una pantalla de inicio de sesión. Aquí deberá ingresar el nombre de usuario y la contraseña de su router. El nombre de usuario y la contraseña predeterminados para la mayoría de los routers son "admin" y "contraseña", respectivamente. Sin embargo, es crucial haber cambiado estas credenciales predeterminadas por razones de seguridad. Si ha olvidado sus credenciales, puede ser necesario restablecer el router a su configuración de fábrica, lo que borrará todas las configuraciones personalizadas.
Bloqueo de Sitios Web: Control Parental y Restricciones Generales
Una vez que haya iniciado sesión en la configuración de su router, el siguiente paso es localizar la herramienta de bloqueo de sitios web. La ubicación y el nombre de esta función pueden variar significativamente entre diferentes fabricantes y modelos de routers.
Funciones Integradas de Control Parental
La mayoría de los routers modernos vienen equipados con funciones de control parental que permiten bloquear sitios web por sus direcciones. Esta es una solución conveniente para los padres que desean mantener a sus hijos seguros en línea. Dentro de la configuración de "Controles parentales" o una sección similar, a menudo encontrará opciones para filtrar el acceso a sitios web.
Por ejemplo, en un enrutador Huawei, dentro de la configuración de "Controles parentales", puede ubicar y seleccionar rápidamente los dispositivos en su enrutador que generalmente necesitan filtrado de sitios web. Dentro de "Filtrado de sitios web", puede acceder a sitios web específicos que le gustaría bloquear o permitir. También hay una opción para crear una lista negra o una lista blanca de sitios. Una lista negra consiste en una lista de sitios web que están explícitamente prohibidos, mientras que una lista blanca permite solo el acceso a sitios web previamente aprobados.
El proceso de bloqueo de sitios web en un enrutador TP-Link es muy similar. Este proceso, que es muy similar al del enrutador Huawei, bloqueará sitios web específicos que haya ingresado. Una gran ventaja de bloquear sitios web a través de un enrutador WiFi PTCL ADSL es que los sitios no deseados ya no estarán disponibles en ningún dispositivo conectado a la red WiFi, ya sea una computadora, un teléfono inteligente o una tableta.
Si su enrutador no tiene una herramienta de bloqueo de sitios web incorporada, no se preocupe. Existen soluciones alternativas, aunque pueden requerir un enfoque diferente.
Bloqueo a Nivel de Router vs. Aplicaciones de Terceros
Al comprender cómo bloquear correctamente el acceso a sitios web en los dispositivos, es fundamental comprender cómo estos dispositivos acceden a la web. Esto significa que para bloquear un sitio web en un teléfono, la dirección del sitio web debe bloquearse a nivel del enrutador. Esto asegura que la restricción se aplique a todos los dispositivos conectados a la red, independientemente de su sistema operativo. Ya sea que un dispositivo ejecute Android, Apple, Windows u otro sistema operativo, no podrá acceder a los sitios web que haya bloqueado.
Si desea bloquear un sitio web que no está bloqueado por las funciones de control parental de su sistema operativo, puede hacerlo bloqueando el sitio web a nivel del enrutador. Si desea recuperar el acceso a un sitio web que ha bloqueado, puede desbloquearlo a nivel del enrutador. Al usar un enrutador para restringir el acceso al sitio web, puede asegurarse de que sus hijos solo puedan acceder a los sitios web que considere apropiados para ellos. Puede elegir qué sitios web bloquear y qué sitios web permitir, lo que le brinda más flexibilidad y control sobre lo que sus hijos pueden ver en línea.
Si desea bloquear estos sitios web para poder concentrarse en su trabajo, puede hacerlo bloqueándolos a nivel del enrutador. Si bien el bloqueo de sitios web dentro del enrutador directamente es un método efectivo para el control parental y las restricciones generales del sitio web, hay algunas cosas que debe tener en cuenta. Esto ayudará a garantizar que todos los sitios web a los que no desea que accedan sus usuarios estén bloqueados.
Además del bloqueo a nivel de router, existen aplicaciones de bloqueo de teléfono de terceros. Estas aplicaciones funcionan mediante la creación de una red privada virtual o VPN entre su dispositivo y el servidor de la aplicación bloqueadora. Aplicaciones como Kidslox y otras ofrecen restricciones a nivel de dispositivo que permitirán a los padres bloquear sitios web y aplicaciones, establecer límites de tiempo y recibir informes sobre la actividad de sus hijos.
Kidslox, por ejemplo, facilita que los padres bloqueen sitios web en dispositivos individuales con solo unos pocos toques. Esto significa que la protección no solo es fácil de configurar, sino que permanece activa incluso cuando su hijo sale del alcance de su enrutador wifi. Con Kidslox, los padres pueden configurar controles y filtros para padres en una variedad de dispositivos, incluidos teléfonos inteligentes y tabletas con iOS y Android. Kidslox es fácil de aprender y configurar, y se puede usar una sola cuenta para controlar el acceso en hasta 10 dispositivos. Esto significa que los padres pueden bloquear sitios web rápida y fácilmente sin necesidad de aprender las complejidades de la configuración de su enrutador wifi.
➡️ 4 + 1 medidas de CONTROL PARENTAL que puedes aplicar en el router FÁCIL
Restricción de Acceso a Direcciones IP Externas Específicas
En escenarios más avanzados, como en redes empresariales o para usuarios con necesidades de seguridad específicas, puede ser necesario permitir que solo algunas direcciones IP externas accedan a un servidor interno detrás de un router. Esto implica una configuración más compleja que va más allá del simple bloqueo de sitios web.
Consideremos el ejemplo de un router TP-LINK SMB, específicamente el TL-ER6120 v2. Supongamos que un servidor web está alojado detrás del router en la dirección IP interna 192.168.0.2 en el puerto 8080, y un cliente externo se encuentra en la dirección IP 14.28.137.216 a través de WAN1. El objetivo es permitir que solo esta IP externa específica acceda al servidor web.
El TL-ER6120 es un dispositivo NAT (Network Address Translation). Para lograr esta restricción, el proceso implica dos pasos principales: primero, abrir el puerto necesario en el router para permitir el tráfico entrante, y segundo, configurar reglas de firewall para limitar el acceso a la IP externa deseada.
Paso 1: Configuración del Servidor Virtual (Port Forwarding)
En este paso, necesitamos abrir el puerto 8080 para permitir el tráfico entrante.Vaya a "Advanced" (Avanzado) ----> "NAT" ----> "Virtual Server".Para la interfaz, seleccione "WAN1" y establezca el "External Port" (Puerto Externo) como 8080. La "Internal IP" (IP Interna) del servidor es 192.168.0.2, y el "Internal Port" (Puerto Interno) también es 8080. A continuación, haga clic en "Accept" (Aceptar) o "Save" (Guardar).
Paso 2: Definición del Tipo de Servicio
A continuación, configuramos el tipo de servicio para que coincida con el puerto del servidor web 8080.Vaya a "Preferences" (Preferencias) ----> "Service Type" (Tipo de Servicio).Asigne un nombre al tipo de servicio, por ejemplo, "Servicio Web". Seleccione el protocolo "TCP/UDP". El "Source Port Range" (Rango de Puertos de Origen) generalmente se establece en 0-65535 para permitir cualquier puerto de origen. El "Destination Port" (Puerto de Destino) se establece en 8080.
Paso 3: Configuración de Grupos de IP
En este paso, configuramos grupos de direcciones IP para simplificar las reglas del firewall.Vaya a "Preferences" ----> "IP Group" ----> "IP Address".Necesitará crear dos grupos:
- Access_Client: Este grupo contendrá la dirección IP externa permitida. En este caso, sería
14.28.137.216. - Web_Server: Este grupo podría contener la dirección IP interna del servidor (
192.168.0.2) o simplemente puede ser un marcador de posición si el destino se define de otra manera.
Corresponde al nombre de la dirección y al nombre del grupo. Por ejemplo, si crea un grupo llamado "IP_Permitida" y agrega la IP 14.28.137.216 a él.
Paso 4: Configuración del Firewall y Control de Acceso
Este paso es crucial y consiste en configurar las reglas del firewall para permitir selectivamente el acceso.Vaya a "Firewall" ----> "Access Control" (Control de Acceso).Primero, necesitamos configurar una política de permiso. Seleccione "Permit" (Permitir) y elija el "Service Type" (Tipo de Servicio) "Servicio Web" que configuramos anteriormente para el puerto 8080.En la opción "Source" (Origen), seleccione "IP Group" (Grupo de IP) y elija el grupo que contiene la IP externa permitida (por ejemplo, "IP_Permitida").En "Destination" (Destino), especifique la IP interna del servidor web (192.168.0.2). Asigne un ID a esta regla, por ejemplo, 1.
A continuación, necesitamos configurar una política de bloqueo para negar el acceso a todas las demás IPs externas.Seleccione la política "Deny" (Denegar).En "Source" (Origen), seleccione "IPGROUP_ANY" (cualquier grupo de IP) o configurelo para que coincida con todas las IPs de WAN.En "Destination" (Destino), especifique la IP interna del servidor web (192.168.0.2).No olvide establecer un ID para esta regla, asegurándose de que tenga una prioridad mayor que la regla de permiso si se procesan secuencialmente, o configure la regla de permiso para que sea la única que permita el acceso. Por ejemplo, establezca el ID como 2.
Con esta configuración, si un cliente intenta acceder al servidor web desde la IP 14.28.137.216 en el puerto 8080, la regla de permiso (ID 1) se activará y el acceso será concedido. Sin embargo, si otro cliente intenta acceder desde una IP diferente, la regla de bloqueo (ID 2) se aplicará, denegando el acceso.
Es importante notar que para las diferentes versiones de hardware de otros modelos de routers, la interfaz de usuario puede variar. Básicamente, el proceso de configuración de diferentes interfaces de usuario es el mismo que el de la interfaz de usuario del ejemplo.
Consideraciones Técnicas y Subyacentes
El problema que tienen en esencia la inmensa mayoría de routers domésticos del mercado es cómo exponer una herramienta tan potente y versátil como es iptables (en Linux) en una interfaz web sencilla. Porque a fin de cuentas, es iptables quien realmente está detrás tanto de la parte de NAT (Port Forwarding, Triggering…) como de la parte del Firewall y otras protecciones.
Los fabricantes de routers, por ende, suelen tener secciones diferentes de configuración para diferentes posibilidades, aunque todo ello en esencia, como digo, son simples reglas de iptables. Es por esto que vemos enormes diferencias entre diferentes fabricantes o modelos en cuanto a las posibilidades de filtrado/protección/mapeos. Es necesario simplificar, con lo que se suele optar por los modelos más conocidos, y la inclusión de una IP de origen para un mapeo de puertos no es algo que habitualmente encontremos en las interfaces de usuario estándar.
¿Por qué? Ahora bien, ¿puede hacerse? A pesar de que es posible que en las propias reglas de Port Forwarding (Virtual Server) no se pueda especificar este tipo de filtrados, es posible crear una regla en el firewall para permitir tan solo el tráfico procedente de dicha IP. Pero cuidado, hay que entender bien cómo funciona un Firewall, puesto que las reglas que verás en el Firewall del Router no son para el tráfico reenviado, sino para el tráfico de entrada, el tráfico de entrada es el tráfico dirigido al Router, no a un equipo de tu red.
Esto significa que, aunque la interfaz de usuario del router pueda no ofrecer una opción directa para especificar una IP de origen en la configuración del servidor virtual, la funcionalidad se puede lograr mediante la creación de reglas de firewall explícitas. Estas reglas actúan sobre el tráfico que llega al router, permitiendo o denegando el acceso a los servicios que se han reenviado a través del NAT.
En resumen, bloquear sitios web y restringir el acceso por IP en routers domésticos es una tarea factible, con métodos que van desde las interfaces de control parental intuitivas hasta configuraciones de firewall más avanzadas. La clave reside en comprender la estructura de la red, la configuración específica de su router y las herramientas disponibles, ya sea a través de las funciones integradas del dispositivo o mediante software de terceros. Esto ayudará a evitar que usuarios no autorizados accedan a su red y también ayudará a mantener sus datos seguros.