Hạn chế chia sẻ mạng với TTL (Time To Live) trên Router MikroTik là một phương pháp kỹ thuật được sử dụng để kiểm soát hoặc ngăn chặn việc chia sẻ kết nối Internet từ một thiết bị mạng sang các thiết bị khác. Dưới đây là ý nghĩa và cơ chế hoạt động của hạn chế chia sẻ mạng với TTL trên Router MikroTik:

1. Time To Live (TTL) Là Gì?

  • TTL (Time To Live) là một trường trong tiêu đề của gói tin IP, xác định số lượng “hops” (tức số lần gói tin có thể được chuyển tiếp qua các router) trước khi gói tin đó bị hủy. Mỗi lần gói tin đi qua một router, giá trị TTL sẽ giảm đi 1. Khi TTL giảm về 0, gói tin sẽ bị loại bỏ để ngăn không cho nó tồn tại vô hạn trong mạng.
  • Chia sẻ mạng với TTL: Một số người dùng có thể thay đổi giá trị TTL của gói tin để chia sẻ kết nối Internet của họ sang các thiết bị khác một cách không mong muốn hoặc trái phép, ví dụ như thông qua việc cài đặt các thiết bị chia sẻ mạng hoặc phát Wi-Fi từ thiết bị di động.

2. Cơ Chế Hạn Chế Chia Sẻ Mạng với TTL Trên MikroTik:

  • Ngăn chặn chia sẻ trái phép: Bằng cách kiểm soát và thiết lập giá trị TTL trên router MikroTik, quản trị viên có thể ngăn chặn hoặc kiểm soát việc chia sẻ kết nối Internet từ một thiết bị chính sang các thiết bị khác. Điều này giúp hạn chế tình trạng mạng bị sử dụng quá mức hoặc không được kiểm soát.
  • Ví dụ: Nếu một gói tin được phát ra từ một thiết bị với TTL là 64, nhưng router MikroTik giảm TTL xuống 1 trước khi chuyển tiếp gói tin đó, khi gói tin tới thiết bị tiếp theo, TTL sẽ giảm xuống còn 0 và bị loại bỏ, từ đó ngăn chặn việc chia sẻ kết nối.

3. Các Hạn Chế và Lưu Ý:

  • Giảm hiệu suất mạng: Việc can thiệp vào TTL có thể dẫn đến các vấn đề về hiệu suất mạng hoặc gây ra sự gián đoạn nếu không được cấu hình đúng cách. Điều này có thể ảnh hưởng đến trải nghiệm người dùng.
  • Không phải là giải pháp toàn diện: TTL không phải là biện pháp bảo mật hoàn hảo, vì người dùng có thể tìm cách tăng TTL trước khi gói tin rời khỏi thiết bị của họ để vượt qua kiểm soát của router. Vì vậy, quản trị viên nên kết hợp TTL với các biện pháp bảo mật khác như kiểm soát truy cập, giới hạn băng thông, hoặc cấu hình firewall.
  • Cấu hình phức tạp: Để cấu hình hạn chế TTL hiệu quả trên MikroTik, quản trị viên cần có kiến thức vững chắc về mạng và RouterOS, vì cấu hình sai có thể gây ra các vấn đề không mong muốn cho toàn bộ hệ thống mạng.

4. Cách Cấu Hình Hạn Chế Chia Sẻ Mạng với TTL trên MikroTik:

  • Sử dụng Firewall: Một cách phổ biến để thực hiện hạn chế TTL là sử dụng quy tắc firewall trên RouterOS để kiểm soát và thay đổi giá trị TTL. Ví dụ, bạn có thể tạo một quy tắc firewall để giảm TTL của tất cả các gói tin từ một nguồn IP cụ thể.
  • Ví dụ về lệnh cấu hình:
     

    /ip firewall mangle add chain=forward action=change-ttl new-ttl=set:1 passthrough=yes protocol=tcp
  • Giải thích: Quy tắc trên sẽ thay đổi giá trị TTL của tất cả các gói tin TCP đi qua router thành 1, giúp hạn chế khả năng chia sẻ kết nối từ thiết bị qua mạng khác.

 

Hạn chế chia sẻ mạng với TTL trên Router MikroTik là một phương pháp hiệu quả để quản lý và kiểm soát việc chia sẻ kết nối Internet từ thiết bị chính sang các thiết bị khác. Tuy nhiên, để sử dụng phương pháp này hiệu quả, quản trị viên cần có kiến thức về cấu hình mạng và RouterOS, đồng thời phải cân nhắc các tác động tiềm tàng đến hiệu suất và trải nghiệm mạng của người dùng.

Chặn Repeater trong mạng Wifi sử dụng TTL

Bằng cách sử dụng Router MikroTik, chúng tôi có thể giới hạn kết nối từ hàng xóm tới mạng WiFi hiện tại.

  • Ví dụ: khi chúng ta cần cài đặt WiFi cho gia đình nhưng người hàng xóm biết được mật khẩu WiFi. Họ kết nối vào mạng và tiếp tục chia sẻ mạng cho người dùng khác.
  • Dĩ nhiên, chúng ta có thể sử dụng cơ chế này để hạn chế chia sẻ kết nối không dây hoặc có dây trong các khu vực mạng công cộng hoặc dịch vụ hotspot. Điều này là để các kết nối chỉ có thể được sử dụng bởi các thiết bị được kết nối trực tiếp với bộ định tuyến và không thể được chia sẻ lại bởi các thiết bị thứ 3 (đặc biệt là chia sẻ kết nối bằng cách Repeater).

Tại sao lại dựa vào TTL!

Sự thay đổi chỉ số TTL (giảm 1 đơn vị) của mỗi gói tin khi đi vào Router Mikrotik được thực hiện khi Router nhận được dữ liệu đi vào. Chẳng hạn, trong trường hợp mô tả bên dưới, Router hAP ac2 được cài đặt chỉ số TTL =1 ở mạng 192.168.1.0/24. Lúc này, điều gì xảy ra nếu một bộ phát sóng hoặc Router hàng xóm nào đó kết nối tới mạng của bạn và chia sẻ ra mạng 10.40.0.1/24 cho các khách hàng của họ !

Cai-dat-TTL-1

 

→ Trước tiên, bạn cần xác định lớp mạng 192.168.1.0/24 thuộc Bridge nào, bằng cách vào Menu IP → Address.

Cai-dat-TTL-1

 

→ Kế tiếp, hoặc bạn sao chép lệnh bên dưới và dán vào cửa sổ Terminal

/ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:1 outinterface=BridgeWiFi passthrough=no

→ Hoặc bạn truy cập Menu IP → Firewall và chọn thẻ Mangle.

Cai-dat-TTL-1

 

Bạn nhấn Apply và OK để lưu lại.