Mạng LAN nhà bạn có thực sự an toàn?
Nếu đang quản lý mạng cho văn phòng khoảng 50 người hay một dàn homelab, chắc hẳn bạn từng “phát hỏa” vì những sự cố trên trời rơi xuống. Mình từng gặp cảnh nhân viên tự ý cắm router cũ vào cổng LAN để phát Wi-Fi riêng. Hậu quả là xung đột DHCP khiến cả phòng mất mạng. Đáng lo hơn là những thiết bị lạ hoắc xuất hiện trong danh sách IP mà không rõ nguồn gốc.
Trước đây, mình thường dùng nmap để quét thủ công. Tuy nhiên, cách này rất thụ động vì bạn không thể gõ lệnh cả ngày. NetAlertX (bản fork mạnh mẽ từ Pi.Alert) chính là cứu cánh. Nó hoạt động như một hệ thống giám sát tinh gọn, tự động quét và bắn thông báo ngay về điện thoại khi có “kẻ lạ” kết nối vào Wi-Fi hoặc mạng dây.
NetAlertX không chỉ quét IP đơn thuần. Nó giúp bạn định danh thiết bị, theo dõi lịch sử kết nối và quản lý tập trung hạ tầng LAN mà không gây nặng máy. Thực tế, container này chỉ tiêu tốn khoảng 100-150MB RAM, cực kỳ phù hợp cho các dòng Raspberry Pi cũ.
Cài đặt NetAlertX bằng Docker Compose
Để hệ thống chạy ổn định nhất, bạn nên triển khai qua Docker trên Server Linux hoặc NAS. Cách này giúp việc quản lý dữ liệu và cập nhật phiên bản mới sau này chỉ tốn đúng một dòng lệnh.
Dưới đây là file docker-compose.yml tối ưu. Lưu ý: Bạn bắt buộc phải dùng network_mode: host. Nếu thiếu dòng này, container sẽ bị cô lập và không thể quét được bảng ARP của mạng vật lý.
version: "3"
services:
netalertx:
container_name: netalertx
image: jorgeneve/netalertx:latest
network_mode: host
restart: unless-stopped
volumes:
- ./config:/app/config
- ./db:/app/db
- ./logs:/app/logs
environment:
- TZ=Asia/Ho_Chi_Minh
- PUID=1000
- PGID=1000
- PORT=20211
Sau khi lưu file, bạn kích hoạt hệ thống bằng lệnh:
docker-compose up -d
Chờ khoảng 30 giây để hệ thống khởi động. Bây giờ, bạn có thể truy cập giao diện quản lý tại: http://IP-CUA-SERVER:20211.
Cấu hình để không bỏ sót thiết bị
Trong lần đầu đăng nhập, đừng nhấn “Next” liên tục. Hãy tập trung vào các mục sau để đảm bảo NetAlertX “mắt thần” hoạt động chính xác.
1. Thiết lập dải IP quét (Scan Range)
NetAlertX thường tự nhận diện dải IP, nhưng nếu bạn chia VLAN, hãy vào Settings > Scanners. Tại mục ARP-scan, hãy điền dải mạng cụ thể, ví dụ: 192.168.1.0/24.
Kinh nghiệm thực tế cho thấy bạn nên bật song song ICMP (Ping) và Nmap. ARP-scan quét cực nhanh (mất khoảng 5-10 giây cho 254 IP) nhưng dễ bị các thiết bị bảo mật chặn. Lúc này, Nmap sẽ đóng vai trò phương án dự phòng để phát hiện các thiết bị ẩn mình kỹ hơn.
2. Dọn dẹp danh sách thiết bị (Inventory)
Sau lần quét đầu tiên, danh sách sẽ tràn ngập các thiết bị tên “Unknown”. Bạn nên dành khoảng 15 phút để chuẩn hóa dữ liệu:
- Đặt tên dễ nhớ như “Laptop-Ketoan-01” hay “Camera-Sanh-Chinh”.
- Gán biểu tượng (Icon) để dễ nhận diện trực quan.
- Đánh dấu các thiết bị tin tưởng là “Known”. Bất kỳ thiết bị mới nào xuất hiện sau này sẽ bị hệ thống coi là xâm nhập trái phép và báo động ngay.
3. Nhận cảnh báo tức thì qua Telegram
Đây là tính năng “ăn tiền” nhất của NetAlertX. Thay vì phải trực web, bạn sẽ nhận tin nhắn ngay khi có biến. Quy trình thiết lập rất đơn giản:
- Tạo Bot qua
@BotFathertrên Telegram để lấy API Token. - Lấy Chat ID cá nhân từ
@userinfobot. - Tại giao diện NetAlertX, vào Settings > Notifications > Telegram.
- Điền thông tin và nhấn Test để kiểm tra kết nối.
Từ giờ, chỉ cần một ai đó “câu trộm” Wi-Fi, điện thoại bạn sẽ rung chuông ngay lập tức.
Mẹo xử lý sự cố thực tế
Xử lý tình trạng “địa chỉ ảo” (MAC Randomization)
Smartphone hiện đại thường tự động đổi địa chỉ MAC (Private Wi-Fi Address) để bảo mật. Điều này khiến NetAlertX hiểu lầm đó là thiết bị mới liên tục. Để khắc phục, bạn hãy vào cài đặt Wi-Fi trên điện thoại và tắt tùy chọn “Địa chỉ Wi-Fi riêng tư” đối với mạng nội bộ này.
Tăng tần suất quét cho khu vực nhạy cảm
Với phòng Server, bạn có thể chỉnh SCAN_INTERVAL xuống còn 1-2 phút. Tuy nhiên, đừng áp dụng mức này cho toàn bộ dải mạng lớn. Việc quét quá dày đặc sẽ gây nhiễu và làm tăng tải CPU của server không cần thiết.
Kết hợp với Pi-hole hoặc AdGuard Home
NetAlertX có thể đọc log từ Pi-hole để biết chính xác thiết bị nào đang truy cập website nào. Sự kết hợp này biến hệ thống của bạn thành một trung tâm giám sát quyền năng, tương đương với các dòng Firewall đắt tiền của Cisco hay Fortinet.
Vận hành và kiểm tra hàng ngày
Để kiểm tra, bạn hãy thử đổi địa chỉ MAC máy tính cá nhân rồi kết nối lại vào mạng. Nếu Telegram báo về đúng tên hãng sản xuất (Vendor) và IP, hệ thống đã chạy chuẩn.
Mỗi tuần, mình thường dành 5 phút xem mục Presence Chart. Biểu đồ này giúp nhận diện các thiết bị hay rớt mạng (flapping). Đặc biệt, nếu thấy Camera IP truyền dữ liệu liên tục lúc 2 giờ sáng, đó là dấu hiệu bất thường bạn cần kiểm tra ngay lập tức.
Kiểm soát mạng nội bộ không khó nếu bạn có công cụ quan sát đủ tốt. NetAlertX chính là mảnh ghép giúp bạn thực sự làm chủ những gì đang diễn ra sau những sợi cáp và sóng Wi-Fi trong nhà.

