A maioria dos sites agora usa https e bloquear sites https é muito mais difícil com a versão MikroTik RouterOS inferior a 6.41. Mas a partir do RouterOS v6.41, o MikroTik Firewall introduz uma nova propriedade chamada Portas TLS t que é capaz de combinar sites https com muita facilidade. 

Portanto, bloquear sites https como Facebook, YouTube, etc. Isso pode ser feito facilmente com o MikroTik Router se a versão do RouterOS for superior a 6.41. 

Filtragem com base em nomes de host

Você pode usar “tls-host” nas regras de firewall para filtrar o tráfego com base em nomes de host em vez de endereços IP. Isso pode ser benéfico se os endereços IP dos servidores com os quais você se comunica forem propensos a mudanças e você preferir usar nomes de host que permaneçam constantes.

/ip filtro de firewall adicionar chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

Neste exemplo, a regra permitirá o tráfego TLS de saída para a porta 443 destinada a “example.com”.

Gerenciamento de certificados e nomes de host

Ao usar a opção “tls-host”, você pode facilitar o gerenciamento de certificados SSL/TLS em sua rede. Se os certificados mudarem ou forem renovados e o nome do host permanecer o mesmo, você não precisará atualizar as regras do firewall com novos endereços IP.

Reduzindo a dependência de endereços IP fixos

Em alguns casos, especialmente ao interagir com serviços hospedados em nuvem ou com provedores de serviços que podem alterar endereços IP atribuídos, o uso de “tls-host” fornece uma camada de abstração que reduz a dependência de endereços IP fixos.

/ip filtro de firewall adicionar chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

Aqui, o tráfego TLS de saída para a porta 8443 destinado a “cloud-service.com”Será permitido independentemente do endereço IP atual do serviço.

É importante observar que para que a opção “tls-host” seja eficaz, o serviço remoto deve suportar o uso de nomes de host em vez de endereços IP. Nem todos os serviços ou aplicativos permitem essa flexibilidade, por isso é crucial revisar a documentação do serviço específico que você está usando.

 Como bloquear sites HTTPS com TLS Host Matcher

1. Vá para o item de menu IP > Firewall e clique na guia Regras de Filtragem e depois clique no SINAL DE MAIS (+). A janela Nova regra de firewall é exibida.
2. Escolha avançar no menu suspenso String.
3. Escolha tcp no menu suspenso Protocolo.
4. Clique em Dst. Porta e caixa de entrada da porta 443.
5. Clique na guia Avançado e clique na caixa de entrada TLS Host e coloque o nome de domínio que deseja bloquear (como *.facebook.com) nesta caixa.
6. Clique na guia Ação e escolha soltar no menu suspenso Ação.
7. Clique em Aplicar e no botão OK.

Regra de firewall por comando

/ip filtro de firewall adicionar chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop