Le pare-feu Mikrotik est une couche 3 et une couche 4, nous pouvons faire certaines configurations au niveau de la couche 7 mais toutes ne fonctionneront pas. Dans ce cas, il faudrait identifier les ports et les protocoles pour composer les appels WhatsApp, mais cela ne garantit pas que la numérotation fonctionnera.

Vous pouvez configurer des règles sur un routeur MikroTik pour limiter les connexions Wi-Fi entrantes afin que seuls les appels WhatsApp soient autorisés. Ceci est réalisé en utilisant les capacités de pare-feu du routeur MikroTik, en particulier via le protocole Layer7 et les règles mangle.

Bien que WhatsApp utilise diverses plages IP et ports pour ses services, et que ceux-ci puissent changer, il est possible mettre en œuvre une approche dans ce but.

Pour effectuer une configuration visant à limiter le trafic aux seuls appels WhatsApp, vous devez suivre ces étapes générales :

1. Identifiez les adresses IP et les ports utilisés par WhatsApp

WhatsApp utilise diverses adresses IP et ports. Pour les appels, il utilise généralement la plage de ports UDP 3478-3481, bien qu'il puisse également utiliser d'autres ports et protocoles (TCP) pour la signalisation et d'autres services. Les adresses IP spécifiques peuvent varier et appartenir à des blocs attribués à Facebook (propriétaire de WhatsApp).

2. Créer des règles de protocole Layer7

Cela implique d'identifier le modèle de trafic WhatsApp (qui peut être complexe et sujet à changement) et de créer une règle dans le pare-feu qui le reconnaît.

3. Créez des règles Mangle pour marquer le trafic

À l'aide de la fonction mangle, vous pouvez marquer le trafic qui correspond au modèle Layer7 ou aux ports spécifiques utilisés par WhatsApp.

4. Créez des règles de pare-feu pour autoriser/refuser le trafic

Avec le trafic signalé, vous pouvez créer des règles qui autorisent spécifiquement les appels WhatsApp et rejettent tout autre trafic.

Voici un exemple de base de la façon dont vous pourriez commencer à configurer cela, gardez à l'esprit que vous devrez adapter les règles aux adresses IP et aux ports spécifiques que WhatsApp utilise au moment de votre configuration :

/ip firewall layer7-protocol
add name=whatsapp regexp=".*(whatsapp).*"

/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=3478-3481 protocol=udp layer7-protocol=whatsapp new-connection-mark=whatsapp_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=whatsapp_conn new-packet-mark=whatsapp_pkt passthrough=no

/ip firewall filter
add action=accept chain=forward packet-mark=whatsapp_pkt
add action=drop chain=forward connection-mark=!whatsapp_conn

Ces règles sont très basiques et générales. WhatsApp et d'autres services modifient fréquemment leurs adresses IP et leurs méthodes pour empêcher ce type spécifique de filtrage, donc maintenir à jour les règles à cet effet peut être difficile et nécessiter une surveillance constante des sessions réseau pour ajuster les paramètres à mesure que les modèles de trafic changent.

Dernier

Veuillez noter que la mise en œuvre de ce type de contrôle peut affecter la qualité des appels WhatsApp ou même empêcher leur connexion, selon la manière dont WhatsApp décide d'acheminer les appels à ce moment-là. De plus, ces types de configurations peuvent être affectés par le cryptage de bout en bout et d’autres techniques d’obscurcissement que WhatsApp pourrait utiliser.