La majoria dels llocs web ara usen https i bloquejar llocs web https és molt més difícil amb la versió MikroTik RouterOS inferior a 6.41. Però a partir de RouterOS v6.41, MikroTik Firewall introdueix una nova propietat anomenada TLS Hos t que és capaç de fer coincidir llocs web https amb molta facilitat. 

Per tant, el bloqueig de llocs web https com ara Facebook, YouTube, etc. es pot fer fàcilment amb MikroTik Router si la versió de RouterOS és superior a 6.41. 

Filtratge basat en noms de host

Podeu utilitzar “tls-host” a les regles del tallafoc per filtrar el trànsit basat en noms de host en lloc d'adreces IP. Això pot ser beneficiós si les adreces IP dels servidors amb què et comuniques són propenses a canviar i prefereixes utilitzar noms de host que es mantinguin constants.

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

En aquest exemple, la regla permetrà el trànsit TLS sortint cap al port 443 destinat a “example.com”.

Gestió de certificats i noms de host

En utilitzar l'opció “tls-host”, podeu facilitar la gestió de certificats SSL/TLS a la vostra xarxa. Si els certificats canvien o es renoven i el nom de host continua sent el mateix, no necessitareu actualitzar les regles del tallafoc amb noves adreces IP.

Reducció de dependència d'adreces IP fixes

En alguns casos, especialment en interactuar amb serveis allotjats al núvol o amb proveïdors de serveis que poden canviar les adreces IP assignades, utilitzar “tls-host” proporciona una capa d'abstracció que redueix la dependència d'adreces IP fixes.

/ip firewall filter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

Aquí, el trànsit TLS sortint al port 8443 destinat a “cloud-service.com” es permetrà independentment de l'adreça IP actual del servei.

És important destacar que perquè l'opció “tls-host” sigui efectiva, el servei remot ha de suportar l'ús de noms d'amfitrió en comptes d'adreces IP. No tots els serveis o aplicacions permeten aquesta flexibilitat, per la qual cosa és crucial revisar la documentació del servei específic que utilitzeu.

 Com bloquejar llocs web HTTPS amb TLS Host Matcher

1. Aneu a l'element de menú IP > Firewall i feu clic a la pestanya Regles de filtratge i després feu clic a SIGNE MÉS (+). Apareixerà la finestra Nova regla de tallafocs.
2. Trieu reenviar al menú desplegable Cadena.
3. Trieu tcp al menú desplegable Protocol.
4. Feu clic a Dst. Caixa d'entrada de port i posa-hi 443.
5. Feu clic a la pestanya Avançat i feu clic al quadre d'entrada TLS Host i col·loqueu el nom de domini que voleu bloquejar (com *.facebook.com) en aquest quadre.
6. Feu clic a la pestanya Acció i escolliu deixar anar al menú desplegable Acció.
7. Feu clic a Aplica i al botó D'acord.

Regla de tallafocs per comanda

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop