Tường lửa Mikrotik là lớp 3 và lớp 4, chúng ta có thể tạo một số cấu hình nhất định ở lớp 7 nhưng không phải tất cả chúng đều hoạt động. Trong trường hợp này, chúng tôi sẽ phải xác định các cổng và giao thức để quay số cuộc gọi WhatsApp, nhưng điều này không đảm bảo rằng quá trình quay số sẽ hoạt động.

Bạn có thể định cấu hình các quy tắc trên bộ định tuyến MikroTik để hạn chế các kết nối Wi-Fi đến để chỉ cho phép các cuộc gọi WhatsApp. Điều này đạt được bằng cách sử dụng khả năng tường lửa của bộ định tuyến MikroTik, đặc biệt thông qua Giao thức Layer7 và các quy tắc mangle.

Mặc dù WhatsApp sử dụng nhiều dải IP và cổng khác nhau cho các dịch vụ của mình và những cổng này có thể thay đổi, nhưng điều đó vẫn có thể xảy ra. thực hiện một cách tiếp cận vì mục đích này.

Để tạo cấu hình cố gắng giới hạn lưu lượng truy cập chỉ cho các cuộc gọi WhatsApp, bạn cần phải làm theo các bước chung sau:

1. Xác định địa chỉ IP và cổng được WhatsApp sử dụng

WhatsApp sử dụng nhiều địa chỉ IP và cổng khác nhau. Để gọi, nó thường sử dụng phạm vi cổng UDP 3478-3481, mặc dù nó cũng có thể sử dụng các cổng và giao thức (TCP) khác để truyền tín hiệu và các dịch vụ khác. Địa chỉ IP cụ thể có thể khác nhau và thuộc về các khối được chỉ định cho Facebook (chủ sở hữu WhatsApp).

2. Tạo quy tắc giao thức Layer7

Điều này liên quan đến việc xác định mẫu lưu lượng truy cập WhatsApp (có thể phức tạp và có thể thay đổi) và tạo quy tắc trong tường lửa để nhận ra nó.

3. Tạo quy tắc Mangle để đánh dấu lưu lượng truy cập

Bằng cách sử dụng tính năng mangle, bạn có thể đánh dấu lưu lượng truy cập phù hợp với mẫu Layer7 hoặc các cổng cụ thể được WhatsApp sử dụng.

4. Tạo quy tắc tường lửa để cho phép/từ chối lưu lượng truy cập

Với lưu lượng truy cập được gắn cờ, bạn có thể tạo quy tắc cụ thể cho phép cuộc gọi WhatsApp và từ chối tất cả lưu lượng truy cập khác.

Dưới đây là ví dụ cơ bản về cách bạn có thể bắt đầu định cấu hình tính năng này, hãy nhớ rằng bạn sẽ cần điều chỉnh các quy tắc cho phù hợp với các địa chỉ IP và cổng cụ thể mà WhatsApp đang sử dụng tại thời điểm định cấu hình:

/ip firewall layer7-protocol
add name=whatsapp regexp=".*(whatsapp).*"

/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=3478-3481 protocol=udp layer7-protocol=whatsapp new-connection-mark=whatsapp_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=whatsapp_conn new-packet-mark=whatsapp_pkt passthrough=no

/ip firewall filter
add action=accept chain=forward packet-mark=whatsapp_pkt
add action=drop chain=forward connection-mark=!whatsapp_conn

Những quy tắc này rất cơ bản và chung chung. WhatsApp và các dịch vụ khác thường xuyên thay đổi IP và phương thức để ngăn chặn loại lọc cụ thể này, vì vậy việc cập nhật các quy tắc cho mục đích này có thể gặp khó khăn và yêu cầu giám sát liên tục các phiên mạng để điều chỉnh cài đặt khi lưu lượng mạng thay đổi.

Cuối cùng

Xin lưu ý rằng việc triển khai loại kiểm soát này có thể ảnh hưởng đến chất lượng cuộc gọi WhatsApp hoặc thậm chí ngăn chúng kết nối, tùy thuộc vào cách WhatsApp quyết định định tuyến cuộc gọi vào thời điểm đó. Ngoài ra, những kiểu thiết lập này có thể bị ảnh hưởng bởi mã hóa hai đầu và các kỹ thuật che giấu khác mà WhatsApp có thể sử dụng.