Większość stron internetowych korzysta obecnie z protokołu https, a blokowanie stron https jest znacznie trudniejsze w przypadku wersji MikroTik RouterOS niższej niż 6.41. Ale począwszy od RouterOS v6.41, MikroTik Firewall wprowadza nową właściwość zwaną TLS Hos t, który jest w stanie bardzo łatwo dopasować strony https. 

Dlatego blokowanie witryn https, takich jak Facebook, YouTube itp. Można to łatwo zrobić za pomocą MikroTik Router, jeśli wersja RouterOS jest wyższa niż 6.41. 

Filtrowanie na podstawie nazw hostów

Możesz użyć „tls-host” w regułach zapory sieciowej, aby filtrować ruch na podstawie nazw hostów zamiast adresów IP. Może to być korzystne, jeśli adresy IP serwerów, z którymi się komunikujesz, często się zmieniają i wolisz używać stałych nazw hostów.

/ip filtr zapory sieciowej dodaj łańcuch=przekaż dst-port=443 protokół=tcp tls-host=example.com akcja=akceptuj

W tym przykładzie reguła zezwoli na wychodzący ruch TLS na port 443 przeznaczony dla „example.com”.

Zarządzanie certyfikatami i nazwami hostów

Korzystając z opcji „tls-host” możesz ułatwić zarządzanie certyfikatami SSL/TLS w swojej sieci. Jeśli certyfikaty ulegną zmianie lub zostaną odnowione, a nazwa hosta pozostanie taka sama, nie będzie potrzeby aktualizowania reguł zapory sieciowej o nowe adresy IP.

Zmniejszenie zależności od stałych adresów IP

W niektórych przypadkach, szczególnie podczas interakcji z usługami hostowanymi w chmurze lub z dostawcami usług, którzy mogą zmieniać przypisane adresy IP, użycie „tls-host” zapewnia warstwę abstrakcji, która zmniejsza zależność od stałych adresów IP.

/ip filtr zapory sieciowej dodaj łańcuch=przekaż dst-port=8443 protokół=tcp tls-host=cloud-service.com akcja=zaakceptuj

Tutaj wychodzący ruch TLS do portu 8443 przeznaczony dla „cloud-service.com” będzie dozwolone niezależnie od aktualnego adresu IP usługi.

Należy pamiętać, że aby opcja „tls-host” była skuteczna, usługa zdalna musi obsługiwać używanie nazw hostów zamiast adresów IP. Nie wszystkie usługi lub aplikacje umożliwiają taką elastyczność, dlatego niezwykle ważne jest zapoznanie się z dokumentacją konkretnej usługi, z której korzystasz.

 Jak blokować witryny HTTPS za pomocą narzędzia TLS Host Matcher

1. Przejdź do pozycji menu IP > Zapora sieciowa i kliknij zakładkę Reguły filtrowania, a następnie kliknij ZNAK PLUS (+). Pojawi się okno Nowa reguła zapory.
2. Z menu rozwijanego Ciąg wybierz opcję Dalej.
3. Z menu rozwijanego Protokół wybierz opcję tcp.
4. Kliknij opcję Dst. Port i skrzynka wejściowa portu 443.
5. Kliknij kartę Zaawansowane, kliknij pole wprowadzania Host TLS i wpisz w tym polu nazwę domeny, którą chcesz zablokować (np. *.facebook.com).
6. Kliknij kartę Akcja i wybierz opcję Drop z menu rozwijanego Akcja.
7. Kliknij Zastosuj i przycisk OK.

Reguła zapory sieciowej według polecenia

/ip filtr zapory sieciowej dodaj łańcuch=przekaż dst-port=443 protokół=tcp tls-host=*.facebook.com akcja=upuść