Межсетевой экран Mikrotik — это уровни 3 и 4. Мы можем выполнить определенные настройки на уровне 7, но не все из них будут работать. В этом случае нам пришлось бы определить порты и протоколы для набора вызовов WhatsApp, но это не гарантирует, что набор номера будет работать.

Вы можете настроить правила на маршрутизаторе MikroTik, чтобы ограничить входящие соединения Wi-Fi, чтобы были разрешены только вызовы WhatsApp. Это достигается с помощью возможностей межсетевого экрана маршрутизатора MikroTik, в частности, с помощью протокола Layer7 и правил управления.

Хотя WhatsApp использует различные диапазоны IP-адресов и порты для своих служб, и они могут меняться, это возможно. реализовать подход для этого.

Чтобы создать конфигурацию, которая пытается ограничить трафик только вызовами WhatsApp, вам необходимо выполнить следующие общие шаги:

1. Определите IP-адреса и порты, используемые WhatsApp.

WhatsApp использует множество IP-адресов и портов. Для вызова он обычно использует диапазон портов UDP 3478–3481, хотя он также может использовать другие порты и протоколы (TCP) для сигнализации и других услуг. Конкретные IP-адреса могут различаться и принадлежать к блокам, закрепленным за Facebook (владельцем WhatsApp).

2. Создайте правила протокола Layer7.

Это предполагает определение шаблона трафика WhatsApp (который может быть сложным и подвержен изменениям) и создание правила в брандмауэре, которое распознает его.

3. Создайте правила Mangle для маркировки трафика

Используя функцию преобразования, вы можете пометить трафик, соответствующий шаблону Layer7 или определенным портам, используемым WhatsApp.

4. Создайте правила брандмауэра для разрешения/запрета трафика.

Используя помеченный трафик, вы можете создавать правила, которые разрешают вызовы WhatsApp и отклоняют весь остальной трафик.

Вот базовый пример того, как вы можете начать это настраивать. Имейте в виду, что вам нужно будет адаптировать правила к конкретным IP-адресам и портам, которые WhatsApp использует во время вашей настройки:

/ip firewall layer7-protocol
add name=whatsapp regexp=".*(whatsapp).*"

/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=3478-3481 protocol=udp layer7-protocol=whatsapp new-connection-mark=whatsapp_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=whatsapp_conn new-packet-mark=whatsapp_pkt passthrough=no

/ip firewall filter
add action=accept chain=forward packet-mark=whatsapp_pkt
add action=drop chain=forward connection-mark=!whatsapp_conn

Эти правила очень простые и общие. WhatsApp и другие сервисы часто меняют свои IP-адреса и методы, чтобы предотвратить этот конкретный тип фильтрации, поэтому обновление правил для этой цели может быть сложной задачей и требует постоянного мониторинга сетевых сеансов для корректировки настроек по мере изменения структуры сетевого трафика.

Последний

Обратите внимание, что реализация этого типа контроля может повлиять на качество вызовов WhatsApp или даже помешать им подключиться, в зависимости от того, как WhatsApp решит маршрутизировать вызовы в данный момент. Кроме того, на эти типы настроек могут влиять сквозное шифрование и другие методы запутывания, которые может использовать WhatsApp.