http://mikrotik.moscow Новое в теме Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Fri, 03 Apr 2026 19:26:50 +0300 Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Пожалуйста, смотрите конфигурации фаервола ниже, адреса 192.168.10.0/24 относятся к VLAN, используемой для Wi-Fi. Фильтры правил Флаги: X - отключено, I - некорректно, D - динамическое

0  D ;;; специальное фиктивное правило для отображения счетчиков fasttrack  
   цепочка=forward действие=passthrough

1    ;;; принять установленные и связанные соединения  
   цепочка=input действие=accept состояние-соединения=established,related

2    цепочка=input действие=drop состояние-соединения=invalid

3    ;;; разрешить ICMP  
   цепочка=input действие=accept протокол=icmp входной-интерфейс=ether1

4    ;;; разрешить Winbox  
   цепочка=input действие=accept протокол=tcp входной-интерфейс=ether1 порт=8291

5    ;;; разрешить SSH  
   цепочка=input действие=accept протокол=tcp входной-интерфейс=ether1 порт=22

6    ;;; заблокировать всё остальное  
   цепочка=input действие=drop входной-интерфейс=ether1

7    ;;; fast-track для установленных и связанных соединений  
   цепочка=forward действие=fasttrack-connection аппаратное-ускорение=yes состояние-соединения=established,related

8    ;;; принять установленные и связанные соединения  
   цепочка=forward действие=accept состояние-соединения=established,related

9    цепочка=forward действие=drop состояние-соединения=invalid

10    ;;; блокировать доступ к клиентам за NAT из WAN  
   цепочка=forward действие=drop новое-соединение=true состояние-nat=!dstnat входной-интерфейс=ether1

11    ;;; принять WhatsApp  
   цепочка=forward действие=accept исходящий-адрес=192.168.10.0/24 список-адресов-назначения=WHATSAPP-CIDR лог=no префикс-лога=""

12    ;;; иначе заблокировать Wi-Fi  
   цепочка=forward действие=drop исходящий-адрес=192.168.10.0/24 список-адресов-назначения=!WHATSAPP-CIDR лог=no префикс-лога=""

Сырые флаги: X - отключено, I - некорректно, D - динамическое

0  D ;;; специальное фиктивное правило для отображения счетчиков fasttrack  
   цепочка=prerouting действие=passthrough

1    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=.whatsapp.net лог=no префикс-лога="" список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

2    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=.whatsapp.com список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

3    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=.whatsapp.com список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

4    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=.cdn.whatsapp.net список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

5    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=g.whatsapp.net список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

6    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=graph.facebook.com список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

7    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=graph.whatsapp.com список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

8    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=media-.*.cdn.whatsapp.net список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

9    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=media..*.fna.whatsapp.net список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

10    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=mmg.whatsapp.net список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

11    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=pps.whatsapp.net список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

12    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=static.whatsapp.net список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

13    ;;; поймать IP WhatsApp  
   цепочка=prerouting действие=add-dst-to-address-list содержимое=v.whatsapp.net список-исходящих-адресов=LOCAL-IP список-адресов-назначения=!LOCAL-IP список-адресов=WHATSAPP-CIDR время-в-списке=none-dynamic

Есть мысли, почему сообщения WhatsApp проходят, а картинки и видео — нет? Спасибо, Juho
02.10.2022 19:21:00, juhov.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408277 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408277 Sun, 02 Oct 2022 19:21:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Извини, не могу. Почему бы тебе не выложить свою конфигурацию здесь, может, другие профессионалы её увидят и помогут.
01.10.2022 12:57:00, rumahnetmks.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408276 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408276 Sat, 01 Oct 2022 12:57:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Спасибо за ответ снова. Думаю, проблема может быть в моих настройках фильтров фаервола, так как проблема с изображениями или видео в WhatsApp возникает и при наличии, и при отсутствии отдельного VLAN для Wi-Fi. Не мог бы ты прислать свои правила/настройки фильтров фаервола, чтобы я мог проверить, в чём могут быть отличия? Спасибо, Juho
30.09.2022 10:51:00, juhov.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408275 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408275 Fri, 30 Sep 2022 10:51:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Я использую нечто похожее на «только для WhatsApp» в своей сети, но у меня система с хотспотом. Домашний пользователь и пользователь хотспота подключены к разным портам Ethernet, разным VLAN, разным сетевым сегментам. Пользователь хотспота с профилем «только для WhatsApp», которого я тестировал, может заходить только в WA, и, судя по моим тестам, видео, изначально взятое из WA, воспроизводится без проблем. Ты уверена, что видео, о котором ты говоришь, действительно из WA, а не, например, из YouTube или еще откуда-то? Я пробовал записать видео из WA на телефон камерой через мобильный интернет и отправить на телефон с профилем «только для WhatsApp» в хотспоте — видео воспроизводится без ошибок.
30.09.2022 07:37:00, rumahnetmks.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408274 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408274 Fri, 30 Sep 2022 07:37:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Спасибо за помощь, очень ценю! Я настроил две VLAN для Wi-Fi (два SSID тоже) с адресами 192.168.10.0/24 и 192.168.20.0/24. Первая — это ограниченная сеть, вторая — с полным доступом в интернет. В фильтрах использовал настройку src-address=192.168.10.0/24. Но столкнулся с проблемой: в WhatsApp не загружаются и не отправляются изображения в этой ограниченной сети. При отправке картинки в чате появляется предпросмотр, но скачать её нельзя. Может, я что-то упускаю в правилах брандмауэра или других настройках? Ещё интересно, если кто-то уже настраивал похожую систему, где разрешён только WhatsApp с полной функциональностью. Спасибо, Juho.
25.09.2022 18:37:00, juhov.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408273 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408273 Sun, 25 Sep 2022 18:37:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Это заставляет все подключения — LAN и WIFI — подчиняться одним и тем же правилам, даже если они в разных сетях. Мой комментарий здесь для случая автора темы с хотспотом. Так что, если твоя цель — только пользователи Wi-Fi, можно сначала создать адресный список для пользователей Wi-Fi сети. Например, Wi-Fi сеть — 172.16.0.0/24 (предполагаю, что у твоей LAN другая сеть), тогда:

/ip firewall address-list add address=172.16.0.0/24 list=WIFIUSER

Не забудь заменить этот IP-диапазон на реальный IP твоей Wi-Fi сети, для которой хочешь разрешить доступ только к WhatsApp.

Дальше меняем правила файрвола так:

/ip firewall filter add action=accept chain=forward comment="WA Accept" dst-address-list=WHATSAPP-CIDR src-address-list=WIFIUSER  
/ip firewall filter add action=drop chain=forward comment="Else Drop" dst-address-list=!WHATSAPP-CIDR src-address-list=WIFIUSER

Кроме того, я предполагаю, что твоя сеть использует приватные IP из RFC 1918. По этой причине нужно «поймать» трафик с whatsapp.net и whatsapp.com. Попробуй так:

Создай адресный список с приватными IP (RFC1918), например под названием LOCAL-IP:

/ip firewall address-list add address=0.0.0.0/8 list=LOCAL-IP  
add address=10.0.0.0/8 list=LOCAL-IP  
add address=100.64.0.0/10 list=LOCAL-IP  
add address=127.0.0.0/8 list=LOCAL-IP  
add address=169.254.0.0/16 list=LOCAL-IP  
add address=172.16.0.0/12 list=LOCAL-IP  
add address=192.0.0.0/24 list=LOCAL-IP  
add address=192.0.2.0/24 list=LOCAL-IP  
add address=192.168.0.0/16 list=LOCAL-IP  
add address=198.18.0.0/15 list=LOCAL-IP  
add address=198.51.100.0/24 list=LOCAL-IP  
add address=203.0.113.0/24 list=LOCAL-IP  
add address=224.0.0.0/4 list=LOCAL-IP  
add address=240.0.0.0/4 list=LOCAL-IP

Затем «лови» дополнительные IP и добавляй их в WHATSAPP-CIDR:

/ip firewall raw add action=add-dst-to-address-list address-list=WHATSAPP-CIDR address-list-timeout=none-dynamic chain=prerouting comment="Catch Whatsapp IP" content=.whatsapp.net dst-address-list=!LOCAL-IP src-address-list=LOCAL-IP  
/ip firewall raw add action=add-dst-to-address-list address-list=WHATSAPP-CIDR address-list-timeout=none-dynamic chain=prerouting comment="Catch Whatsapp IP" content=.whatsapp.com dst-address-list=!LOCAL-IP src-address-list=LOCAL-IP

Поправьте меня, если я не прав, сорри за мою неопытность.
25.09.2022 14:23:00, rumahnetmks.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408272 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408272 Sun, 25 Sep 2022 14:23:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Спасибо за предыдущие ответы. Это уже очень помогло. Я настраиваю Mikrotik CCR2004-16G-2S+, версия 7.3.1. Дополнительно настроен CAPsMAN для двух точек доступа (CAP ac и mANTBox 15s). План такой: полностью открыть доступ в Интернет на всех остальных интерфейсах LAN, кроме двух портов с точками доступа. Эти AP и повторно Wi-Fi должны иметь доступ только к WhatsApp. Я использовал предоставленный код для скачивания списка адресов WHATSAPP-CIDR на роутер — пока всё работает. Добавил следующие правила в фильтр фаервола поверх моей базовой конфигурации:

/ip firewall filter  
add action=accept chain=forward comment="WA Accept" dst-address-list=WHATSAPP-CIDR  
add action=drop chain=forward comment="Else Drop" dst-address-list=!WHATSAPP-CIDR

И действительно, всё кроме WhatsApp с беспроводных устройств блокируется.

Вопросы:  
Кажется, что соединение с WhatsApp довольно нестабильно и медленное (например, изображения не загружаются или не скачиваются) после добавления этих правил. Есть у кого-то ещё такая проблема с этими правилами? Может ли это быть связано с остальной частью моей конфигурации фаервола (ниже)? Как лучше ограничить эти ограничения только для беспроводных интерфейсов через CAPsMAN?

ether1 = WAN  
Флаги: X — отключён, I — недействительный; D — динамический

0  D  ;;; специальное фиктивное правило для счётчиков fasttrack  
   chain=forward action=passthrough  

1     ;;; принять установленные и связанные соединения  
   chain=input action=accept connection-state=established,related  

2     chain=input action=drop connection-state=invalid  

3     ;;; разрешить ICMP  
   chain=input action=accept protocol=icmp in-interface=ether1  

4     ;;; разрешить Winbox  
   chain=input action=accept protocol=tcp in-interface=ether1 port=8291  

5     ;;; разрешить SSH  
   chain=input action=accept protocol=tcp in-interface=ether1 port=22  

6     ;;; блокировать всё остальное  
   chain=input action=drop in-interface=ether1  

7     ;;; fast-track для установленных и связанных соединений  
   chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related  

8     ;;; принять установленные и связанные  
   chain=forward action=accept connection-state=established,related  

9     chain=forward action=drop connection-state=invalid  

10    ;;; блокировать доступ для клиентов за NAT с WAN  
   chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1  

11    ;;; WA Accept  
   chain=forward action=accept dst-address-list=WHATSAPP-CIDR log=no log-prefix=""  

12    ;;; Else drop  
   chain=forward action=drop dst-address-list=!WHATSAPP-CIDR log=no log-prefix=""  

Спасибо заранее, Juho
25.09.2022 10:34:00, juhov.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408271 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408271 Sun, 25 Sep 2022 10:34:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Если нужно, у нас есть репозиторий на GitHub, который автоматически обновляет списки IP-адресов и доменов WhatsApp: https://github.com/HybridNetworks/whatsapp-cidr

Пример:
/tool fetch url="https://raw.githubusercontent.com/HybridNetworks/whatsapp-cidr/main/WhatsApp/whatsapp_cidr_ipv4.rsc" mode=https
/ip firewall address-list remove [find where list="WHATSAPP-CIDR"]
/import file-name=whatsapp_cidr_ipv4.rsc
/file remove whatsapp_cidr_ipv4.rsc

Хотя обновление происходит каждые 24 часа, можно настроить интервал обновления до 5 дней, так как серверы меняются примерно каждые несколько месяцев.
29.08.2022 23:32:00, danielcs.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408270 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408270 Mon, 29 Aug 2022 23:32:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Спасибо за ваш ответ. Он был для меня полезен.
28.08.2022 07:00:00, Asadullah2.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408269 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408269 Sun, 28 Aug 2022 07:00:00 +0300 RouterOS Настройка точки доступа для разрешения WhatsApp и блокировки остального трафика. RouterOS в форуме RouterOS.
Всем привет! Я только что создал этот список адресов и хочу разрешить только трафик Whatsapp, а весь остальной сбрасывать. На компьютере с Whatsapp Messenger это работает, а на мобильном телефоне – нет. В чём может быть проблема? Пожалуйста, помогите или подскажите другой способ, как разрешить только трафик Whatsapp на точке доступа. Заранее спасибо!

Пожалуйста, скажите, что с этим не так.
28.07.2022 09:58:00, Asadullah2.]]> http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408268 http://mikrotik.moscow/forum/forum57/86581-nastroyka-tochki-dostupa-dlya-razresheniya-whatsapp-i-blokirovki-ostalnogo-trafika./message408268 Thu, 28 Jul 2022 09:58:00 +0300 RouterOS