Die Mikrotik-Firewall ist Layer 3 und Layer 4. Auf Layer 7 können wir bestimmte Konfigurationen vornehmen, aber nicht alle funktionieren. In diesem Fall müssten wir Ports und Protokolle identifizieren, um WhatsApp-Anrufe anzurufen, aber das garantiert nicht, dass die Anwahl funktioniert.

Sie können auf einem MikroTik-Router Regeln konfigurieren, um eingehende WLAN-Verbindungen zu begrenzen, sodass nur WhatsApp-Anrufe zulässig sind. Dies wird mithilfe der Firewall-Funktionen des MikroTik-Routers erreicht, insbesondere durch das Layer7-Protokoll und Mangle-Regeln.

Obwohl WhatsApp für seine Dienste verschiedene IP-Bereiche und Ports verwendet und diese sich ändern können, ist dies möglich einen Ansatz umsetzen für diesen Zweck.

Um eine Konfiguration vorzunehmen, die versucht, den Datenverkehr nur auf WhatsApp-Anrufe zu beschränken, müssen Sie die folgenden allgemeinen Schritte ausführen:

1. Identifizieren Sie die von WhatsApp verwendeten IP-Adressen und Ports

WhatsApp verwendet eine Vielzahl von IP-Adressen und Ports. Für Anrufe wird normalerweise der UDP-Portbereich 3478–3481 verwendet, es können jedoch auch andere Ports und Protokolle (TCP) für Signalisierung und andere Dienste verwendet werden. Spezifische IP-Adressen können variieren und gehören zu Blöcken, die Facebook (Eigentümer von WhatsApp) zugewiesen sind.

2. Erstellen Sie Layer7-Protokollregeln

Dazu gehört die Identifizierung des WhatsApp-Verkehrsmusters (das komplex sein kann und sich ändern kann) und das Erstellen einer Regel in der Firewall, die es erkennt.

3. Erstellen Sie Mangle-Regeln, um den Datenverkehr zu markieren

Mit der Mangle-Funktion können Sie Datenverkehr markieren, der dem Layer7-Muster oder bestimmten von WhatsApp verwendeten Ports entspricht.

4. Erstellen Sie Firewall-Regeln, um Datenverkehr zuzulassen/zu verweigern

Mit gekennzeichnetem Datenverkehr können Sie Regeln erstellen, die WhatsApp-Anrufe gezielt zulassen und allen anderen Datenverkehr ablehnen.

Hier ist ein einfaches Beispiel dafür, wie Sie mit der Konfiguration beginnen können. Beachten Sie, dass Sie die Regeln an die spezifischen IP-Adressen und Ports anpassen müssen, die WhatsApp zum Zeitpunkt Ihrer Konfiguration verwendet:

/ip firewall layer7-protocol
add name=whatsapp regexp=".*(whatsapp).*"

/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=3478-3481 protocol=udp layer7-protocol=whatsapp new-connection-mark=whatsapp_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=whatsapp_conn new-packet-mark=whatsapp_pkt passthrough=no

/ip firewall filter
add action=accept chain=forward packet-mark=whatsapp_pkt
add action=drop chain=forward connection-mark=!whatsapp_conn

Diese Regeln sind sehr einfach und allgemein. WhatsApp und andere Dienste ändern häufig ihre IP-Adressen und Methoden, um diese spezielle Art der Filterung zu verhindern. Daher kann es schwierig sein, die Regeln für diesen Zweck auf dem neuesten Stand zu halten und eine ständige Überwachung der Netzwerksitzungen erforderlich zu machen, um die Einstellungen anzupassen, wenn sich der Netzwerkverkehr ändert.

Letzte

Bitte beachten Sie, dass die Implementierung dieser Art der Kontrolle die Qualität von WhatsApp-Anrufen beeinträchtigen oder sogar verhindern kann, dass eine Verbindung hergestellt wird, je nachdem, wie WhatsApp zu diesem Zeitpunkt entscheidet, Anrufe weiterzuleiten. Darüber hinaus können diese Art von Setups durch Ende-zu-Ende-Verschlüsselung und andere Verschleierungstechniken beeinträchtigt werden, die WhatsApp möglicherweise verwendet.