Lielākā daļa vietņu tagad izmanto https, un https vietņu bloķēšana ir daudz grūtāka, ja MikroTik RouterOS versija ir zemāka par 6.41. Bet, sākot ar RouterOS v6.41, MikroTik Firewall ievieš jaunu rekvizītu ar nosaukumu TLS Hos t, kas ļoti viegli var saskaņot https tīmekļa vietnes. 

Tāpēc bloķējot https vietnes, piemēram, Facebook, YouTube utt. To var viegli izdarīt ar MikroTik Router, ja RouterOS versija ir augstāka par 6.41. 

Filtrēšana, pamatojoties uz resursdatora nosaukumiem

Ugunsmūra noteikumos varat izmantot “tls-host”, lai filtrētu trafiku, pamatojoties uz resursdatora nosaukumiem, nevis IP adresēm. Tas var būt noderīgi, ja to serveru IP adreses, ar kurām sazināties, ir tendence mainīties un vēlaties izmantot resursdatora nosaukumus, kas paliek nemainīgi.

/ip ugunsmūra filtrs pievienot ķēdi=forward dst-port=443 protokols=tcp tls-host=example.com action=accept

Šajā piemērā kārtula atļaus izejošo TLS trafiku uz 443. portu, kura mērķis ir “example.com”.

Sertifikātu un resursdatora nosaukuma pārvaldība

Izmantojot opciju “tls-host”, varat atvieglot SSL/TLS sertifikātu pārvaldību savā tīklā. Ja sertifikāti mainās vai tiek atjaunoti un resursdatora nosaukums paliek nemainīgs, ugunsmūra noteikumi nav jāatjaunina ar jaunām IP adresēm.

Atkarības no fiksētajām IP adresēm samazināšana

Dažos gadījumos, īpaši mijiedarbojoties ar mākoņa mitinātiem pakalpojumiem vai pakalpojumu sniedzējiem, kas var mainīt piešķirtās IP adreses, “tls-host” izmantošana nodrošina abstrakcijas slāni, kas samazina paļaušanos uz fiksētām IP adresēm.

/ip ugunsmūra filtrs pievienot ķēdi=pārsūtīt dst-port=8443 protokols=tcp tls-host=cloud-service.com action=accept

Šeit izejošā TLS trafika uz portu 8443 paredzēta “cloud-service.com” tiks atļauta neatkarīgi no pakalpojuma pašreizējās IP adreses.

Ir svarīgi atzīmēt, ka, lai opcija “tls-host” būtu efektīva, attālajam pakalpojumam ir jāatbalsta resursdatora nosaukumu izmantošana IP adrešu vietā. Ne visi pakalpojumi vai lietojumprogrammas nodrošina šo elastību, tāpēc ir ļoti svarīgi pārskatīt dokumentāciju par konkrēto pakalpojumu, kuru izmantojat.

 Kā bloķēt HTTPS vietnes, izmantojot TLS Host Matcher

1. Atveriet izvēlnes vienumu IP > Ugunsmūris un noklikšķiniet uz cilnes Filtrēšanas noteikumi un pēc tam noklikšķiniet uz PLUSZĪME (+). Tiek parādīts logs New Firewall Rule.
2. Nolaižamajā izvēlnē Virkne izvēlieties uz priekšu.
3. Nolaižamajā izvēlnē Protokols izvēlieties tcp.
4. Noklikšķiniet uz Dst. Ostas un ostas ieejas aile 443.
5. Noklikšķiniet uz cilnes Advanced un noklikšķiniet uz TLS Host ievades lodziņa un ievietojiet šajā lodziņā domēna nosaukumu, kuru vēlaties bloķēt (piemēram, *.facebook.com).
6. Noklikšķiniet uz cilnes Darbība un nolaižamajā izvēlnē Darbība izvēlieties nolaižamo.
7. Noklikšķiniet uz Lietot un pogas Labi.

Ugunsmūra noteikums ar komandu

/ip ugunsmūra filtrs pievienot ķēde=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop