Οι περισσότεροι ιστότοποι χρησιμοποιούν πλέον https και ο αποκλεισμός ιστοτόπων https είναι πολύ πιο δύσκολος με την έκδοση MikroTik RouterOS χαμηλότερη από 6.41. Αλλά ξεκινώντας με το RouterOS v6.41, το MikroTik Firewall παρουσιάζει μια νέα ιδιότητα που ονομάζεται TLS Hos t που είναι σε θέση να ταιριάξει πολύ εύκολα με ιστότοπους https. 

Επομένως, ο αποκλεισμός ιστοτόπων https όπως το Facebook, το YouTube κ.λπ. Μπορεί να γίνει εύκολα με το MikroTik Router εάν η έκδοση RouterOS είναι υψηλότερη από 6.41. 

Φιλτράρισμα με βάση τα ονόματα κεντρικών υπολογιστών

Μπορείτε να χρησιμοποιήσετε το "tls-host" στους κανόνες του τείχους προστασίας για να φιλτράρετε την κυκλοφορία με βάση τα ονόματα κεντρικών υπολογιστών αντί για διευθύνσεις IP. Αυτό μπορεί να είναι επωφελές εάν οι διευθύνσεις IP των διακομιστών με τους οποίους επικοινωνείτε είναι επιρρεπείς σε αλλαγές και προτιμάτε να χρησιμοποιείτε ονόματα κεντρικών υπολογιστών που παραμένουν σταθερά.

/ip φίλτρο τείχους προστασίας add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

Σε αυτό το παράδειγμα, ο κανόνας θα επιτρέπει την εξερχόμενη κυκλοφορία TLS στη θύρα 443 που προορίζεται για το "example.com".

Διαχείριση πιστοποιητικού και ονόματος κεντρικού υπολογιστή

Χρησιμοποιώντας την επιλογή "tls-host", μπορείτε να διευκολύνετε τη διαχείριση των πιστοποιητικών SSL/TLS στο δίκτυό σας. Εάν τα πιστοποιητικά αλλάξουν ή ανανεωθούν και το όνομα κεντρικού υπολογιστή παραμείνει ίδιο, δεν θα χρειαστεί να ενημερώσετε τους κανόνες του τείχους προστασίας με νέες διευθύνσεις IP.

Μείωση της εξάρτησης από σταθερές διευθύνσεις IP

Σε ορισμένες περιπτώσεις, ειδικά κατά την αλληλεπίδραση με υπηρεσίες που φιλοξενούνται στο cloud ή με παρόχους υπηρεσιών που ενδέχεται να αλλάξουν τις εκχωρημένες διευθύνσεις IP, η χρήση του "tls-host" παρέχει ένα επίπεδο αφαίρεσης που μειώνει την εξάρτηση από σταθερές διευθύνσεις IP.

/ip φίλτρο τείχους προστασίας προσθήκη chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

Εδώ, η εξερχόμενη κυκλοφορία TLS προς τη θύρα 8443 με προορισμό "cloud-service.com” θα επιτρέπεται ανεξάρτητα από την τρέχουσα διεύθυνση IP της υπηρεσίας.

Είναι σημαντικό να σημειωθεί ότι για να είναι αποτελεσματική η επιλογή "tls-host", η απομακρυσμένη υπηρεσία πρέπει να υποστηρίζει τη χρήση ονομάτων κεντρικού υπολογιστή αντί για διευθύνσεις IP. Δεν επιτρέπουν όλες οι υπηρεσίες ή οι εφαρμογές αυτήν την ευελιξία, επομένως είναι σημαντικό να ελέγξετε την τεκμηρίωση για τη συγκεκριμένη υπηρεσία που χρησιμοποιείτε.

 Πώς να αποκλείσετε ιστότοπους HTTPS με το TLS Host Matcher

1. Μεταβείτε στο στοιχείο μενού IP > Τείχος προστασίας και κάντε κλικ στην καρτέλα Κανόνες φιλτραρίσματος και, στη συνέχεια, κάντε κλικ στο SIGN ΣΥΝ (+). Εμφανίζεται το παράθυρο Νέος κανόνας τείχους προστασίας.
2. Επιλέξτε προώθηση από το αναπτυσσόμενο μενού String.
3. Επιλέξτε tcp από το αναπτυσσόμενο μενού Πρωτόκολλο.
4. Κάντε κλικ στο Dst. Θύρα εισόδου θύρας και θύρας 443.
5. Κάντε κλικ στην καρτέλα Για προχωρημένους και κάντε κλικ στο πλαίσιο εισαγωγής κεντρικού υπολογιστή TLS και βάλτε το όνομα τομέα που θέλετε να αποκλείσετε (όπως *.facebook.com) σε αυτό το πλαίσιο.
6. Κάντε κλικ στην καρτέλα Ενέργεια και επιλέξτε απόθεση από το αναπτυσσόμενο μενού Ενέργεια.
7. Κάντε κλικ στο Apply και στο κουμπί OK.

Κανόνας τείχους προστασίας από την εντολή

/ip φίλτρο τείχους προστασίας προσθήκη chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop