Zapora Mikrotik ma warstwę 3 i warstwę 4, możemy dokonać pewnych konfiguracji w warstwie 7, ale nie wszystkie z nich będą działać. W takim przypadku musielibyśmy zidentyfikować porty i protokoły, aby wybierać połączenia WhatsApp, ale nie gwarantuje to, że wybieranie będzie działać.

Możesz skonfigurować reguły na routerze MikroTik, aby ograniczyć przychodzące połączenia Wi-Fi, tak aby dozwolone były tylko połączenia WhatsApp. Osiąga się to poprzez wykorzystanie możliwości zapory ogniowej routera MikroTik, w szczególności poprzez protokół Layer7 i reguły maglowania.

Chociaż WhatsApp używa w swoich usługach różnych zakresów adresów IP i portów, a te mogą ulec zmianie, jest to możliwe wdrożyć podejście w tym celu.

Aby utworzyć konfigurację próbującą ograniczyć ruch tylko do połączeń WhatsApp, wykonaj następujące ogólne kroki:

1. Zidentyfikuj adresy IP i porty używane przez WhatsApp

WhatsApp korzysta z różnych adresów IP i portów. Do połączeń zwykle wykorzystuje zakres portów UDP 3478–3481, chociaż może również używać innych portów i protokołów (TCP) do sygnalizacji i innych usług. Konkretne adresy IP mogą się różnić i należeć do bloków przypisanych do Facebooka (właściciela WhatsApp).

2. Utwórz reguły protokołu warstwy 7

Obejmuje to identyfikację wzorca ruchu WhatsApp (który może być złożony i podlegać zmianom) i utworzenie w zaporze sieciowej reguły, która go rozpoznaje.

3. Utwórz reguły maglowania, aby oznaczyć ruch

Korzystając z funkcji maglowania, możesz oznaczyć ruch pasujący do wzorca Layer7 lub określonych portów używanych przez WhatsApp.

4. Utwórz reguły zapory sieciowej, aby zezwalać na ruch lub go blokować

W przypadku ruchu oznaczonego możesz utworzyć reguły zezwalające na połączenia WhatsApp i odrzucające cały inny ruch.

Oto podstawowy przykład tego, jak możesz rozpocząć konfigurację. Pamiętaj, że będziesz musiał dostosować reguły do ​​konkretnych adresów IP i portów używanych przez WhatsApp w momencie konfiguracji:

/ip firewall layer7-protocol
add name=whatsapp regexp=".*(whatsapp).*"

/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=3478-3481 protocol=udp layer7-protocol=whatsapp new-connection-mark=whatsapp_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=whatsapp_conn new-packet-mark=whatsapp_pkt passthrough=no

/ip firewall filter
add action=accept chain=forward packet-mark=whatsapp_pkt
add action=drop chain=forward connection-mark=!whatsapp_conn

Zasady te są bardzo podstawowe i ogólne. WhatsApp i inne usługi często zmieniają swoje adresy IP i metody, aby zapobiec temu specyficznemu typowi filtrowania, więc aktualizowanie reguł w tym celu może być wyzwaniem i wymagać ciągłego monitorowania sesji sieciowych w celu dostosowania ustawień w miarę zmiany wzorców sieci.

Wreszcie

Należy pamiętać, że wdrożenie tego typu kontroli może wpłynąć na jakość połączeń WhatsApp, a nawet uniemożliwić ich nawiązanie, w zależności od tego, jak WhatsApp zdecyduje się w danym momencie kierować połączenia. Ponadto na tego typu konfiguracje może mieć wpływ kompleksowe szyfrowanie i inne techniki zaciemniania stosowane przez WhatsApp.