La mayoría de los sitios web ahora usan https y bloquear sitios web https es mucho más difícil con la versión MikroTik RouterOS inferior a 6.41. Pero a partir de RouterOS v6.41, MikroTik Firewall introduce una nueva propiedad llamada TLS Hos t que es capaz de hacer coincidir sitios web https con mucha facilidad. 

Por lo tanto, el bloqueo de sitios web https como Facebook, YouTube, etc. se puede realizar fácilmente con MikroTik Router si la versión de RouterOS es superior a 6.41. 

Filtrado basado en nombres de host

Puedes utilizar “tls-host” en las reglas del firewall para filtrar el tráfico basado en nombres de host en lugar de direcciones IP. Esto puede ser beneficioso si las direcciones IP de los servidores con los que te comunicas son propensas a cambiar y prefieres utilizar nombres de host que se mantengan constantes.

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

En este ejemplo, la regla permitirá el tráfico TLS saliente hacia el puerto 443 destinado a “example.com”.

Gestión de certificados y nombres de host

Al utilizar la opción “tls-host”, puedes facilitar la gestión de certificados SSL/TLS en tu red. Si los certificados cambian o se renuevan y el nombre de host sigue siendo el mismo, no necesitarás actualizar las reglas del firewall con nuevas direcciones IP.

Reducción de dependencia de direcciones IP fijas

En algunos casos, especialmente al interactuar con servicios alojados en la nube o con proveedores de servicios que pueden cambiar las direcciones IP asignadas, utilizar “tls-host” proporciona una capa de abstracción que reduce la dependencia de direcciones IP fijas.

/ip firewall filter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

Aquí, el tráfico TLS saliente al puerto 8443 destinado a “cloud-service.com” se permitirá independientemente de la dirección IP actual del servicio.

Es importante destacar que para que la opción “tls-host” sea efectiva, el servicio remoto debe soportar el uso de nombres de host en lugar de direcciones IP. No todos los servicios o aplicaciones permiten esta flexibilidad, por lo que es crucial revisar la documentación del servicio específico que estás utilizando.

 Cómo bloquear sitios web HTTPS con TLS Host Matcher

1. Vaya al elemento de menú IP > Firewall y haga clic en la pestaña Reglas de filtrado y luego haga clic en SIGNO MÁS (+). Aparecerá la ventana Nueva regla de firewall.
2. Elija reenviar en el menú desplegable Cadena.
3. Elija tcp en el menú desplegable Protocolo.
4. Haga clic en Dst. Caja de entrada de puerto y pon 443.
5. Haga clic en la pestaña Avanzado y haga clic en el cuadro de entrada TLS Host y coloque el nombre de dominio que desea bloquear (como *.facebook.com) en este cuadro.
6. Haga clic en la pestaña Acción y elija soltar en el menú desplegable Acción.
7. Haga clic en Aplicar y en el botón Aceptar.

Regla de firewall por Comando

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop