Die meisten Websites verwenden mittlerweile https und das Blockieren von https-Websites ist mit MikroTik RouterOS-Versionen unter 6.41 viel schwieriger. Aber ab RouterOS v6.41 führt MikroTik Firewall eine neue Eigenschaft namens ein TLS Hos t, das sehr leicht https-Websites zuordnen kann. 

Daher ist das Blockieren von https-Websites wie Facebook, YouTube usw. Dies ist mit MikroTik Router problemlos möglich, wenn die RouterOS-Version höher als 6.41 ist. 

Filterung basierend auf Hostnamen

Sie können „tls-host“ in Firewall-Regeln verwenden, um den Datenverkehr nach Hostnamen statt nach IP-Adressen zu filtern. Dies kann von Vorteil sein, wenn sich die IP-Adressen der Server, mit denen Sie kommunizieren, häufig ändern und Sie lieber gleichbleibende Hostnamen verwenden möchten.

/IP-Firewallfilter add chain=forward dst-port=443 Protocol=tcp tls-host=example.com action=accept

In diesem Beispiel lässt die Regel ausgehenden TLS-Verkehr zu Port 443 zu, der für „example.com“ bestimmt ist.

Verwaltung von Zertifikaten und Hostnamen

Durch die Verwendung der Option „tls-host“ können Sie die Verwaltung von SSL/TLS-Zertifikaten in Ihrem Netzwerk vereinfachen. Wenn sich die Zertifikate ändern oder erneuert werden und der Hostname derselbe bleibt, müssen Sie die Firewall-Regeln nicht mit neuen IP-Adressen aktualisieren.

Reduzierung der Abhängigkeit von festen IP-Adressen

In einigen Fällen, insbesondere bei der Interaktion mit in der Cloud gehosteten Diensten oder mit Dienstanbietern, die möglicherweise zugewiesene IP-Adressen ändern, bietet die Verwendung von „tls-host“ eine Abstraktionsschicht, die die Abhängigkeit von festen IP-Adressen verringert.

/ip-Firewallfilter add chain=forward dst-port=8443 Protocol=tcp tls-host=cloud-service.com action=accept

Hier ist ausgehender TLS-Verkehr an Port 8443 bestimmt für „cloud-service.com” wird unabhängig von der aktuellen IP-Adresse des Dienstes zugelassen.

Es ist wichtig zu beachten, dass der Remote-Dienst die Verwendung von Hostnamen anstelle von IP-Adressen unterstützen muss, damit die Option „tls-host“ wirksam ist. Nicht alle Dienste oder Anwendungen bieten diese Flexibilität. Daher ist es wichtig, die Dokumentation für den jeweiligen Dienst zu lesen, den Sie verwenden.

 So blockieren Sie HTTPS-Websites mit TLS Host Matcher

1. Gehen Sie zum Menüpunkt IP > Firewall, klicken Sie auf die Registerkarte Filterregeln und dann auf das PLUSZEICHEN (+). Das Fenster „Neue Firewall-Regel“ wird angezeigt.
2. Wählen Sie „Weiterleiten“ aus dem Dropdown-Menü „Zeichenfolge“.
3. Wählen Sie „TCP“ aus dem Dropdown-Menü „Protokoll“.
4. Klicken Sie auf Dst. Port und Port-Eingabebox 443.
5. Klicken Sie auf die Registerkarte „Erweitert“ und dann auf das Eingabefeld „TLS-Host“ und geben Sie in dieses Feld den Domänennamen ein, den Sie blockieren möchten (z. B. *.facebook.com).
6. Klicken Sie auf die Registerkarte „Aktion“ und wählen Sie „Ablegen“ aus dem Dropdown-Menü „Aktion“.
7. Klicken Sie auf „Übernehmen“ und dann auf die Schaltfläche „OK“.

Firewall-Regel per Befehl

/ip-Firewallfilter add chain=forward dst-port=443 Protocol=tcp tls-host=*.facebook.com action=drop