MikroTik là dòng router chạy hệ điều hành RouterOS nhân Linux, tích hợp nhiều tính năng và khả năng tùy biến phong phú. Ngoài việc thực hiện chức năng là một router, MikroTik còn có thêm phần firewall khá hay để cấu hình & nghiên cứu. Sau đây Viettelco sẽ hướng dẫn cấu hình firewall router MikroTik chặn web theo 2 cách thông dụng nhất.
Chặn bằng Content Filter
Đây là phương pháp hay được dùng nhất. Để thực hiện ta vào IP → Firewall → Filter Rules và thêm một rule mới với nội dung như ảnh dưới:
Content Filter.
Giải thích rule:
- Chain: forward, xử lý các gói tin đi qua router.
- Src. Address: Địa chỉ (hoặc nhóm địa chỉ) IP cần áp dụng rule firewall. Ở đây là IP máy tính cần test tính năng firewall.
- Protocol: Giao thức, chọn 6 (tcp).
- Dst. Port: Port (cổng) cần chặn, ở đây chọn port https 443.
- In. Interface: Interface gói tin đi vào. Chọn bridge, VLAN hoặc interface cụ thể cần chặn.
- Content: Nội dung cần chặn. Ví dụ: facebook, 24h, youtube,…
- Action: Cách xử lý gói tin. Chọn drop (bỏ gói tin đi).
Sau khi cấu hình, thử truy cập vào viettelco.vn đã không được, thấy trên rule đã nhảy số:
Rule chặn truy cập theo content.
Chặn bằng Layer 7 Firewall
Đây là cách ít được dùng hơn, vì nó sẽ làm cho router hoạt động với công suất cao, tăng CPU.
Để cấu hình ta vào IP → Firewall → Layer7 Protocols và thêm một Regexp (Regular Expression) như sau:
Regexp.
Với cú pháp Regexp là ^.+(wifisukien.vn).*$ trong đó wifisukien.vn là trang web cần chặn.
Sau đó ta tạo rule mới trong IP → Firewall → Filter Rules với nội dung như sau:
Tạo rule chặn bằng Layer7.
Nội dung rule:
- Chain: forward, xử lý các gói tin đi qua router.
- Src. Address: Địa chỉ (hoặc nhóm địa chỉ) IP cần áp dụng rule firewall. Ở đây là IP máy tính cần test tính năng firewall.
- Protocol: Giao thức, chọn 6 (tcp).
- Dst. Port: Port (cổng) cần chặn, ở đây chọn port https 443.
- In. Interface: Interface gói tin đi vào. Chọn bridge, VLAN hoặc interface cụ thể cần chặn.
- Layer7 Protocol: chọn Regexp đã tạo trước đó.
- Action: Cách xử lý gói tin. Chọn drop (bỏ gói tin đi).
Thử truy cập Facebook, thấy không vào được, trên rule nhảy số là đã thành công:
Rule số 1 chặn theo Layer7.
Ngoài ra ta có thể tùy chỉnh rule với thời gian có hiệu lực bằng việc chỉnh lại time trong tab Extra của rule đó. Ví dụ cần chặn truy cập Facebook trong giờ hành chính:
Tùy chỉnh time.
Với cảnh báo đỏ Inactive time chúng ta không cần quan tâm, đây chỉ là thông báo đã hết thời gian hiệu lực của rule. Khi đến khoảng thời gian mà chúng ta đã cài đặt thì cảnh báo này sẽ hết.
Phần firewall của router MikroTik cơ bản có các nội dung trên. Cần nhắc lại, nhiệm vụ chính của MikroTik vẫn là router, mục firewall chúng ta nên dùng hạn chế để đảm bảo được hiệu năng tối đa cho sản phẩm. Nếu cần thiết có thể đầu tư thêm firewall phần cứng chuyên dụng hoặc các firewall mềm mà nguồn mở như pfSense, OPNsense.