De meeste websites gebruiken nu https en het blokkeren van https-websites is veel moeilijker met MikroTik RouterOS-versie lager dan 6.41. Maar vanaf RouterOS v6.41 introduceert MikroTik Firewall een nieuwe eigenschap genaamd TLS Hos t die heel gemakkelijk https-websites kan matchen. 

Daarom is het blokkeren van https-websites zoals Facebook, YouTube, etc. Het kan eenvoudig worden gedaan met MikroTik Router als de RouterOS-versie hoger is dan 6.41. 

Filteren op basis van hostnamen

U kunt “tls-host” in firewallregels gebruiken om verkeer te filteren op basis van hostnamen in plaats van IP-adressen. Dit kan nuttig zijn als de IP-adressen van de servers waarmee u communiceert, onderhevig zijn aan verandering en u liever hostnamen gebruikt die constant blijven.

/ip firewallfilter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

In dit voorbeeld staat de regel uitgaand TLS-verkeer toe naar poort 443, bestemd voor 'example.com'.

Certificaat- en hostnaambeheer

Door de optie “tls-host” te gebruiken, kunt u het beheer van SSL/TLS-certificaten op uw netwerk eenvoudiger maken. Als de certificaten veranderen of worden vernieuwd en de hostnaam blijft hetzelfde, hoeft u de firewallregels niet bij te werken met nieuwe IP-adressen.

Vermindering van de afhankelijkheid van vaste IP-adressen

In sommige gevallen, vooral bij interactie met in de cloud gehoste services of met serviceproviders die toegewezen IP-adressen kunnen wijzigen, biedt het gebruik van “tls-host” een abstractielaag die de afhankelijkheid van vaste IP-adressen vermindert.

/ip firewallfilter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

Hier is uitgaand TLS-verkeer naar poort 8443 bestemd voor “cloud-service.com” is toegestaan, ongeacht het huidige IP-adres van de service.

Het is belangrijk op te merken dat de optie “tls-host” alleen effectief kan zijn als de externe service het gebruik van hostnamen in plaats van IP-adressen moet ondersteunen. Niet alle services of applicaties staan ​​deze flexibiliteit toe, dus het is van cruciaal belang om de documentatie voor de specifieke service die u gebruikt te raadplegen.

 Hoe HTTPS-websites te blokkeren met TLS Host Matcher

1. Ga naar het menu-item IP > Firewall en klik op het tabblad Filterregels en klik vervolgens op het PLUSTEKEN (+). Het venster Nieuwe firewallregel verschijnt.
2. Kies vooruit in het vervolgkeuzemenu Tekenreeks.
3. Kies TCP in het vervolgkeuzemenu Protocol.
4. Klik op Dst. Haven en haveninvoervak ​​443.
5. Klik op het tabblad Geavanceerd en klik op het invoervak ​​TLS Host en plaats de domeinnaam die u wilt blokkeren (zoals *.facebook.com) in dit vak.
6. Klik op het tabblad Actie en kies neerzetten in het vervolgkeuzemenu Actie.
7. Klik op Toepassen en op de knop OK.

Firewallregel via Commando

/ip firewallfilter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop