Fortigate, Mikrotik, Tutorial
[Guide] วิธีการทำ Address List บน Mikrotik เพื่อBlock LINE หรืออื่นๆ โดยอิงข้อมูลจาก Fortiguard ISDB
สวัสดีครับท่านผู้อ่าน
วันนี้มีเทคนิคการ Block LINE ด้วย Mikrotik+Fortiguard ก่อนอื่นคือทาง Quiz Network มีลูกค้าที่เราดูแลอยู่เจ้านึงใช้ Mikrotik อยู่ด้วย และทางลูกค้าท่านนั้นได้ให้โจทย์มาว่าให้ Block LINE บน Mikrotik ให้หน่อย ตอนแรกจะไปหา AS ของ Naver-LINE แล้วมาโยนเป็น Address list แล้วไปจัดการด้วย Firewall Rules อีกที
แต่นึกขึ้นได้ว่ามีลูกค้าท่านนึงที่เราดูแลใช้ Fortigate อยู่ ตัว Fortigate นั้นหากต่อ Subscription Basic UTM อยู่แล้วตัว Fortigate ก็จะได้รับ Update Fortiguard ISDB (Internet Service Database) โดยอัตโนมัติ
เจ้า Fortiguard ISDB มี IP Range ค่อนข้างถูกต้องและแม่นยำมากๆ แถมมีผู้ให้บริการรายใหญ่ๆเยอะ เช่น Google, Microsoft, Adobe, Apple เป็นต้น แต่ติดปัญหาที่ว่าหากเข้าไปดึงจาก Web GUI ตัว FortiOS มันไม่มีให้ export น่ะสิ
ทางเราจึงขอยืมมือ Fortigate เพื่อผนึกกำลัง Block LINE กับ Mikrotik กันครับ วันนี้เลยจะมาแนะนำการ export ip range ออกมาจาก Fortiguard ISDB โดยใช้ CLI และ นำ IP Range ที่ได้ Import ลง Mikrotik โดยใช้ CLI เช่นกัน
- ขั้นแรกต้อง Console เข้าไปที่ Fortigate ก่อน จะ WebConsole หรือ SSH ก็ตามแต่สะดวก
- ค้นหา Service ก่อน ในที่นี้เราจะหา naver-line
FortiGate100F # diagnose internet-service id | grep -i naver-line
ID: 10617015 name: “Naver-Line” - ค้นหาตาม ID ที่โชว์ขึ้นมา จะโชว์ Protocol : 6 (TCP) และ Protocol : 17 (UDP) พร้อม port ที่ใช้งาน
FortiGate100F # diagnose internet-service id 10617015
Protocol: 6 Port: 80 443 5223 5242 9418
IP range(268):
2.22.72.42-2.22.72.42
2.22.72.128-2.22.72.128
2.22.72.153-2.22.72.153
2.22.72.227-2.22.72.227
13.224.12.65-13.224.12.65
13.224.128.88-13.224.128.88
13.224.128.106-13.224.128.106
13.224.128.109-13.224.128.109
13.224.128.114-13.224.128.114
13.225.51.8-13.225.51.8
13.225.51.12-13.225.51.12
13.225.51.29-13.225.51.29
13.225.51.51-13.225.51.51
13.225.51.71-13.225.51.71
13.225.51.86-13.225.51.86
13.225.51.120-13.225.51.120
13.225.51.127-13.225.51.127
…..
Protocol: 17 Port: 0
IP range(268):
2.22.72.42-2.22.72.42
2.22.72.128-2.22.72.128
2.22.72.153-2.22.72.153
2.22.72.227-2.22.72.227
13.224.12.65-13.224.12.65
13.224.128.88-13.224.128.88
13.224.128.106-13.224.128.106
13.224.128.109-13.224.128.109
13.224.128.114-13.224.128.114
13.225.51.8-13.225.51.8
13.225.51.12-13.225.51.12
13.225.51.29-13.225.51.29
13.225.51.51-13.225.51.51 - ให้นำ port ทั้งหมดโดยลบ Line Protocol และ IP range(xxx) ออก แล้วไปวางไว้ใน Editor ที่ใช้งานตามสะดวก ในที่นี้ทางผู้เขียนใช้ Notepadd++
- Replace space ข้างหน้าด้วย /ip firewall address-list add list=LINE address=
- จะได้ CLI พร้อม IP Range ตามนี้
- สังเกตว่า IP Range จะไม่สามารถโยนลง RouterOS ได้ หากโยนแล้วจะถูกแปลงออกมาเปน prefix /xx ตามแต่ IP Range ที่เราใส่เข้าไป ส่วน IP Range ที่เป็น Range 1 IP นั้นก็จะถูกแปลงออกเป็น /32 หรือ Host IP ครับ
- สร้าง Firewall Fitler Rules Chain : Forward Action : Drop โดยกำหนด Src. Address list : LINE เป็นอันเรียบร้อย
/ip firewall filter add action=drop chain=forward disabled=yes dst-address-list=LINE
หากต้องการ Custom การตั้งค่าอื่นๆก็จัดตามที่ถนัดได้เลย - ลองทดสอบ Login LINE ดูเป็นอันเสร็จสิ้น โดน Block เรียบร้อยครับ
- ค้นหา Service ก่อน ในที่นี้เราจะหา naver-line
