[Guide] วิธีการทำ Address List บน Mikrotik เพื่อBlock LINE หรืออื่นๆ โดยอิงข้อมูลจาก Fortiguard ISDB

สวัสดีครับท่านผู้อ่าน

วันนี้มีเทคนิคการ Block LINE ด้วย Mikrotik+Fortiguard ก่อนอื่นคือทาง Quiz Network มีลูกค้าที่เราดูแลอยู่เจ้านึงใช้ Mikrotik อยู่ด้วย และทางลูกค้าท่านนั้นได้ให้โจทย์มาว่าให้ Block LINE บน Mikrotik ให้หน่อย ตอนแรกจะไปหา AS ของ Naver-LINE แล้วมาโยนเป็น Address list แล้วไปจัดการด้วย Firewall Rules อีกที

แต่นึกขึ้นได้ว่ามีลูกค้าท่านนึงที่เราดูแลใช้ Fortigate อยู่ ตัว Fortigate นั้นหากต่อ Subscription Basic UTM อยู่แล้วตัว Fortigate ก็จะได้รับ Update Fortiguard ISDB (Internet Service Database) โดยอัตโนมัติ

เจ้า Fortiguard ISDB มี IP Range ค่อนข้างถูกต้องและแม่นยำมากๆ แถมมีผู้ให้บริการรายใหญ่ๆเยอะ เช่น Google, Microsoft, Adobe, Apple เป็นต้น แต่ติดปัญหาที่ว่าหากเข้าไปดึงจาก Web GUI ตัว FortiOS มันไม่มีให้ export น่ะสิ

ทางเราจึงขอยืมมือ Fortigate เพื่อผนึกกำลัง Block LINE กับ Mikrotik กันครับ วันนี้เลยจะมาแนะนำการ export ip range ออกมาจาก Fortiguard ISDB โดยใช้ CLI และ นำ IP Range ที่ได้ Import ลง Mikrotik โดยใช้ CLI เช่นกัน

 

  1. ขั้นแรกต้อง Console เข้าไปที่ Fortigate ก่อน จะ WebConsole หรือ SSH ก็ตามแต่สะดวก
    1. ค้นหา Service ก่อน ในที่นี้เราจะหา naver-line
      FortiGate100F # diagnose internet-service id | grep -i naver-line
      ID: 10617015 name: “Naver-Line”
    2. ค้นหาตาม ID ที่โชว์ขึ้นมา จะโชว์ Protocol : 6 (TCP) และ Protocol : 17 (UDP) พร้อม port ที่ใช้งาน
      FortiGate100F # diagnose internet-service id 10617015
      Protocol: 6 Port: 80 443 5223 5242 9418
      IP range(268):
      2.22.72.42-2.22.72.42
      2.22.72.128-2.22.72.128
      2.22.72.153-2.22.72.153
      2.22.72.227-2.22.72.227
      13.224.12.65-13.224.12.65
      13.224.128.88-13.224.128.88
      13.224.128.106-13.224.128.106
      13.224.128.109-13.224.128.109
      13.224.128.114-13.224.128.114
      13.225.51.8-13.225.51.8
      13.225.51.12-13.225.51.12
      13.225.51.29-13.225.51.29
      13.225.51.51-13.225.51.51
      13.225.51.71-13.225.51.71
      13.225.51.86-13.225.51.86
      13.225.51.120-13.225.51.120
      13.225.51.127-13.225.51.127
      …..
      Protocol: 17 Port: 0
      IP range(268):
      2.22.72.42-2.22.72.42
      2.22.72.128-2.22.72.128
      2.22.72.153-2.22.72.153
      2.22.72.227-2.22.72.227
      13.224.12.65-13.224.12.65
      13.224.128.88-13.224.128.88
      13.224.128.106-13.224.128.106
      13.224.128.109-13.224.128.109
      13.224.128.114-13.224.128.114
      13.225.51.8-13.225.51.8
      13.225.51.12-13.225.51.12
      13.225.51.29-13.225.51.29
      13.225.51.51-13.225.51.51
    3. ให้นำ port ทั้งหมดโดยลบ Line Protocol และ IP range(xxx) ออก แล้วไปวางไว้ใน Editor ที่ใช้งานตามสะดวก ในที่นี้ทางผู้เขียนใช้ Notepadd++
    4. Replace space ข้างหน้าด้วย /ip firewall address-list add list=LINE address=
      Mikrotik Fortiguard ISDB 1
    5. จะได้ CLI พร้อม IP Range ตามนี้
      Mikrotik Fortiguard ISDB 2
    6. สังเกตว่า IP Range จะไม่สามารถโยนลง RouterOS ได้ หากโยนแล้วจะถูกแปลงออกมาเปน prefix /xx ตามแต่ IP Range ที่เราใส่เข้าไป ส่วน IP Range ที่เป็น Range 1 IP นั้นก็จะถูกแปลงออกเป็น /32 หรือ Host IP ครับ
      Mikrotik Fortiguard ISDB 3Mikrotik Fortiguard ISDB 5
    7. สร้าง Firewall Fitler Rules Chain : Forward Action : Drop โดยกำหนด Src. Address list : LINE เป็นอันเรียบร้อย
      /ip firewall filter add action=drop chain=forward disabled=yes dst-address-list=LINE
      หากต้องการ Custom การตั้งค่าอื่นๆก็จัดตามที่ถนัดได้เลย
    8. ลองทดสอบ Login LINE ดูเป็นอันเสร็จสิ้น โดน Block เรียบร้อยครับ
This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.