Loading...
Home>Kiến thức - Kỹ thuật>Cách chặn Facebook, TikTok, YouTube App bằng MikroTik RouterOS

Cách chặn Facebook, TikTok, YouTube App bằng MikroTik RouterOS

1. Vì sao cần chặn ứng dụng mạng xã hội?

Trong nhiều hệ thống mạng doanh nghiệp hoặc trường học, việc giới hạn truy cập các ứng dụng mạng xã hội như Facebook, TikTok hoặc YouTube giúp:

  • Giảm tiêu thụ băng thông Internet

  • Tăng hiệu quả làm việc

  • Hạn chế truy cập nội dung không phù hợp

  • Nâng cao bảo mật hệ thống mạng

Tuy nhiên, việc chặn các ứng dụng này ngày càng khó khăn do hầu hết dịch vụ hiện nay sử dụng HTTPS mã hóa và các hệ thống CDN phân tán.

2. Các phương pháp chặn ứng dụng trên MikroTik

Trên RouterOS có nhiều phương pháp để hạn chế hoặc chặn truy cập ứng dụng.

Các phương pháp phổ biến gồm:

  1. Chặn theo TLS Host (SNI)

  2. Chặn bằng DNS

  3. Chặn theo IP Address List

  4. Chặn giao thức QUIC (UDP 443)

  5. Chặn bằng Layer7 Protocol

Trong đó, TLS Host + DNS + Block QUIC là phương pháp hiệu quả nhất hiện nay.

Cách chặn Facebook, TikTok, YouTube App bằng MikroTik RouterOS

2.1 Nguyên lý firewall trong MikroTik RouterOS

Trong một hệ thống mạng phổ biến, router MikroTik đóng vai trò gateway Internet.

Mô hình:

   Internet

   MikroTik Router

    Switch

 User Devices

Toàn bộ lưu lượng truy cập Internet từ người dùng sẽ đi qua router và được kiểm tra bởi firewall rule trước khi ra Internet.

Firewall trong RouterOS hoạt động theo mô hình packet filtering dựa trên rule.

Các rule được xử lý tuần tự trong các chain chính:

  • input

  • forward

  • output

Trong hầu hết hệ thống mạng nội bộ, traffic của người dùng truy cập Internet sẽ đi qua chain:

forward

Do đó các rule chặn ứng dụng thường được cấu hình trong chain này.

Ví dụ rule cơ bản:

/ip firewall filter
add chain=forward action=drop

RouterOS sẽ kiểm tra từng rule theo thứ tự từ trên xuống dưới và thực hiện hành động tương ứng khi gói tin khớp điều kiện.

3. Chặn ứng dụng bằng TLS Host (khuyến nghị)

Từ các phiên bản mới của RouterOS, firewall có thể kiểm tra TLS SNI (Server Name Indication) trong quá trình bắt tay TLS.

Điều này cho phép router nhận diện domain trước khi dữ liệu được mã hóa. Cơ chế này hoạt động vì hostname của server được gửi trong TLS handshake trước khi dữ liệu được mã hóa hoàn toàn

Ví dụ chặn Facebook:

/ip firewall filter
add chain=forward protocol=tcp tls-host=*.facebook.* action=drop
add chain=forward protocol=tcp tls-host=*.fbcdn.net action=drop

Chặn TikTok:

/ip firewall filter
add chain=forward protocol=tcp tls-host=*.tiktokcdn.com action=drop
add chain=forward protocol=tcp tls-host=*.tiktok.com action=drop

Chặn YouTube:

/ip firewall filter
add chain=forward protocol=tcp tls-host=*.youtube.com action=drop
add chain=forward protocol=tcp tls-host=*.googlevideo.com action=drop

Ưu điểm:

  • Hoạt động với HTTPS

  • Không cần SSL inspection

  • Cấu hình đơn giản

Hạn chế:

  • Không hiệu quả nếu ứng dụng kết nối trực tiếp bằng IP.

4. Chặn QUIC (HTTP/3)

Nhiều ứng dụng hiện nay sử dụng HTTP/3 (QUIC) chạy trên UDP port 443.

Nếu không chặn QUIC, các dịch vụ như YouTube hoặc Facebook vẫn có thể hoạt động.

(Xem thêm QUIC là gì? Vì sao nhiều hệ thống mạng doanh nghiệp chặn giao thức QUIC)

Rule firewall:

/ip firewall filter
add chain=forward protocol=udp dst-port=443 action=drop comment="Block QUIC"

Sau khi chặn QUIC, ứng dụng sẽ quay về HTTPS TCP 443, khi đó rule TLS Host sẽ hoạt động.

5. Chặn bằng DNS

Một cách khác là ép toàn bộ thiết bị trong mạng sử dụng DNS của router.

Trước tiên redirect DNS:

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53

Sau đó cấu hình DNS tĩnh:

/ip dns static
add name=facebook.com address=127.0.0.1
add name=tiktok.com address=127.0.0.1
add name=youtube.com address=127.0.0.1

Ưu điểm:

  • Dễ triển khai

  • Không tốn CPU

Nhược điểm:

  • Có thể bị bypass bằng DNS over HTTPS.

6. Chặn bằng Address List

Bạn cũng có thể chặn ứng dụng bằng cách đưa IP server vào Address List.

Ví dụ:

/ip firewall address-list
add list=facebook address=157.240.0.0/16

Sau đó tạo rule:

/ip firewall filter
add chain=forward dst-address-list=facebook action=drop

Tuy nhiên phương pháp này ít được khuyến nghị vì:

  • Facebook và YouTube sử dụng CDN

  • IP thay đổi liên tục.

7. Layer7 Protocol (phương pháp cũ)

Layer7 từng được dùng để chặn ứng dụng bằng cách phân tích payload.

Ví dụ:

/ip firewall layer7-protocol
add name=facebook regexp="^.+(facebook.com).*$"

Nhưng hiện nay:

  • Hầu hết traffic dùng HTTPS

  • payload đã mã hóa

Do đó Layer7 không còn hiệu quả với các ứng dụng hiện đại.

8. Giải pháp chặn ứng dụng hiệu quả trên MikroTik

Trong thực tế, các quản trị mạng thường kết hợp nhiều phương pháp:

  1. Chặn TLS Host

  2. Chặn QUIC UDP 443

  3. Kiểm soát DNS

  4. Firewall domain list

Khi kết hợp các cơ chế này, phần lớn ứng dụng như Facebook, TikTok hoặc YouTube sẽ không thể hoạt động trong mạng nội bộ.

9. Kết luận

Router chạy MikroTik RouterOS hoàn toàn có thể chặn hoặc hạn chế hoạt động của các ứng dụng mạng xã hội.

Tuy nhiên do các dịch vụ hiện đại sử dụng:

  • HTTPS encryption

  • CDN phân tán

  • HTTP/3 (QUIC)

nên việc chặn ứng dụng cần kết hợp nhiều kỹ thuật firewall khác nhau.

Trong hầu hết hệ thống mạng hiện nay, giải pháp phổ biến là:

TLS Host + Block QUIC + DNS Filtering

để đạt hiệu quả kiểm soát truy cập tốt nhất.

Xem thêm

 

Hỏi đáp:

Q: Nếu chặn QUIC UDP 443 thì các ứng dụng đang được phép có ảnh hưởng không?

A:  Có, chặn QUIC (UDP 443) có thể ảnh hưởng một số ứng dụng, nhưng đa số vẫn hoạt động bình thường vì chúng sẽ fallback về HTTPS TCP 443. Tuy nhiên cần hiểu rõ cơ chế.

1. QUIC là gì?

QUIC là giao thức transport mới chạy trên UDP 443, được dùng trong HTTP/3.

Nhiều dịch vụ lớn dùng QUIC như:

  • Google

  • Meta

  • Cloudflare

Các dịch vụ phổ biến:

  • YouTube

  • Google Chrome

  • Facebook

  • TikTok

2. Nếu chặn UDP 443 thì chuyện gì xảy ra?

Rule ví dụ:

/ip firewall filter
add chain=forward protocol=udp dst-port=443 action=drop comment="Block QUIC"

Khi đó:

  1. Client thử HTTP/3 (QUIC)
  2. Router chặn UDP 443
  3. Client fallback về HTTPS TCP 443 (HTTP/2)

=>Vì vậy:

  • website vẫn mở được

  • ứng dụng vẫn chạy

Chỉ khác:

  • tốc độ tải có thể chậm hơn chút

  • latency tăng nhẹ

3. Ứng dụng nào bị ảnh hưởng nhiều nhất?

Một số ứng dụng tối ưu mạnh cho QUIC:

  • YouTube (video buffering chậm hơn chút)

  • Google Meet

  • Zoom (một số case)

  • Google Drive

Nhưng không bị mất kết nối, chỉ giảm hiệu năng.

4. Trong mạng doanh nghiệp có nên chặn QUIC không?

=>Rất nhiều doanh nghiệp chặn QUIC.

Lý do:

  1. Firewall dễ kiểm soát hơn
  2. TLS Host hoạt động tốt
  3. QoS / DPI dễ áp dụng
  4. ngăn bypass filtering

Các hệ thống firewall như:

  • Fortinet

  • Palo Alto Networks

  • Cisco

đều thường disable QUIC mặc định.

5. Kết luận

Chặn QUIC:

✔ giúp firewall kiểm soát traffic tốt hơn
✔ giúp rule TLS Host hoạt động hiệu quả
✔ giúp chặn app dễ hơn

❗ nhưng có thể:

  • giảm hiệu năng web một chút

  • tăng latency nhẹ

Trong mạng doanh nghiệp / trường học, việc chặn QUIC hoàn toàn bình thường.

Danh mục sản phẩm