La maggior parte dei siti Web ora utilizza https e bloccare i siti Web https è molto più difficile con la versione di MikroTik RouterOS inferiore alla 6.41. Ma a partire da RouterOS v6.41, MikroTik Firewall introduce una nuova proprietà chiamata Ospite TLS t che è in grado di abbinare molto facilmente i siti Web https. 

Pertanto, bloccare i siti Web https come Facebook, YouTube, ecc. Può essere fatto facilmente con MikroTik Router se la versione di RouterOS è successiva alla 6.41. 

Filtraggio in base ai nomi host

Puoi utilizzare "tls-host" nelle regole del firewall per filtrare il traffico in base ai nomi host anziché agli indirizzi IP. Ciò può essere utile se gli indirizzi IP dei server con cui comunichi sono soggetti a modifiche e preferisci utilizzare nomi host che rimangono costanti.

/ip filtro firewall aggiungi chain=forward dst-port=443 protocollo=tcp tls-host=example.com action=accept

In questo esempio, la regola consentirà il traffico TLS in uscita verso la porta 443 destinato a "example.com".

Gestione dei certificati e dei nomi host

Utilizzando l'opzione "tls-host", puoi semplificare la gestione dei certificati SSL/TLS sulla tua rete. Se i certificati cambiano o vengono rinnovati e l'hostname rimane lo stesso, non sarà necessario aggiornare le regole del firewall con i nuovi indirizzi IP.

Riduzione della dipendenza dagli indirizzi IP fissi

In alcuni casi, soprattutto quando si interagisce con servizi ospitati nel cloud o con fornitori di servizi che potrebbero modificare gli indirizzi IP assegnati, l'utilizzo di "tls-host" fornisce un livello di astrazione che riduce la dipendenza da indirizzi IP fissi.

/ip filtro firewall aggiungi chain=forward dst-port=8443 protocollo=tcp tls-host=cloud-service.com action=accept

Qui, il traffico TLS in uscita verso la porta 8443 destinato a “cloud-service.com" sarà consentito indipendentemente dall'indirizzo IP corrente del servizio.

È importante notare che affinché l'opzione "tls-host" sia efficace, il servizio remoto deve supportare l'uso di nomi host anziché di indirizzi IP. Non tutti i servizi o le applicazioni consentono questa flessibilità, quindi è fondamentale rivedere la documentazione per il servizio specifico che stai utilizzando.

 Come bloccare i siti Web HTTPS con TLS Host Matcher

1. Vai alla voce di menu IP > Firewall e fai clic sulla scheda Regole di filtro, quindi fai clic sul SEGNO PIÙ (+). Viene visualizzata la finestra Nuova regola firewall.
2. Scegli avanti dal menu a discesa Stringa.
3. Scegli tcp dal menu a discesa Protocollo.
4. Fare clic su Dst. Porto e casella di ingresso del porto 443.
5. Fare clic sulla scheda Avanzate, quindi sulla casella di input Host TLS e inserire il nome di dominio che si desidera bloccare (ad esempio *.facebook.com) in questa casella.
6. Fare clic sulla scheda Azione e scegliere Rilascia dal menu a discesa Azione.
7. Fare clic su Applica e sul pulsante OK.

Regola del firewall tramite comando

/ip filtro firewall aggiungi chain=forward dst-port=443 protocollo=tcp tls-host=*.facebook.com action=drop