El firewall de Mikrotik es capa 3 y capa 4, podemos hacer ciertas configuraciones en capa 7 pero no todas van a funcionar. En este caso marcar llamadas de WhatsApp tendríamos que identificar puertos y protocolos pero esto no garantiza que el marcado vaya a funcionar.

Puedes configurar reglas en un router MikroTik para limitar las conexiones entrantes por Wi-Fi de manera que solo se permitan llamadas de WhatsApp. Esto se logra utilizando las capacidades de firewall (cortafuegos) del router MikroTik, específicamente a través de las reglas de Layer7 Protocol y mangle.

Aunque WhatsApp utiliza varios rangos de IP y puertos para sus servicios, y estos pueden cambiar, es posible implementar una aproximación para este propósito.

Para realizar una configuración que intente limitar el tráfico a solo llamadas de WhatsApp, tendrías que seguir estos pasos generales:

1. Identificar las Direcciones IP y Puertos Utilizados por WhatsApp

WhatsApp usa una variedad de direcciones IP y puertos. Para llamadas, normalmente usa el rango de puertos UDP 3478-3481, aunque también puede usar otros puertos y protocolos (TCP) para la señalización y otros servicios. Las direcciones IP específicas pueden variar y pertenecer a bloques asignados a Facebook (propietario de WhatsApp).

2. Crear Reglas de Layer7 Protocol

Esto implica identificar el patrón de tráfico de WhatsApp (que puede ser complejo y sujeto a cambios) y crear una regla en el firewall que lo reconozca.

3. Crear Reglas Mangle para Marcar el Tráfico

Utilizando la característica mangle, puedes marcar el tráfico que coincide con el patrón de Layer7 o los puertos específicos usados por WhatsApp.

4. Crear Reglas de Firewall para Permitir/Denegar el Tráfico

Con el tráfico marcado, puedes crear reglas que específicamente permitan las llamadas de WhatsApp y rechacen el resto del tráfico.

Aquí te dejo un ejemplo básico de cómo podrías empezar a configurar esto, ten en cuenta que necesitarás adaptar las reglas a las direcciones IP y puertos específicos que WhatsApp esté utilizando en el momento de tu configuración:

/ip firewall layer7-protocol
add name=whatsapp regexp=".*(whatsapp).*"

/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=3478-3481 protocol=udp layer7-protocol=whatsapp new-connection-mark=whatsapp_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=whatsapp_conn new-packet-mark=whatsapp_pkt passthrough=no

/ip firewall filter
add action=accept chain=forward packet-mark=whatsapp_pkt
add action=drop chain=forward connection-mark=!whatsapp_conn

Estas reglas son muy básicas y generales. WhatsApp y otros servicios cambian frecuentemente sus IP y métodos para evitar este tipo de filtrado específico, por lo que mantener actualizadas las reglas para este propósito puede ser desafiante y requerir un monitoreo constante de las sesiones de red para ajustar las configuraciones conforme cambien los patrones de tráfico.

Por último

Ten en cuenta que implementar este tipo de control puede afectar la calidad de las llamadas de WhatsApp o incluso impedir que se conecten, dependiendo de cómo WhatsApp decida enrutar las llamadas en ese momento. Además, este tipo de configuraciones puede verse afectada por el cifrado de extremo a extremo y otras técnicas de ofuscación que WhatsApp podría utilizar.