Karamihan sa mga website ay gumagamit na ngayon ng https at ang pagharang sa mga website ng https ay mas mahirap sa MikroTik RouterOS na bersyon na mas mababa sa 6.41. Ngunit simula sa RouterOS v6.41, ipinakilala ng MikroTik Firewall ang isang bagong ari-arian na tinatawag TLS Hos t na kayang tumugma sa mga website ng https nang napakadali. 

Samakatuwid, ang pagharang sa mga website ng https tulad ng Facebook, YouTube, atbp. Madali itong magawa sa MikroTik Router kung ang bersyon ng RouterOS ay mas mataas sa 6.41. 

Pag-filter batay sa mga pangalan ng host

Maaari mong gamitin ang "tls-host" sa mga panuntunan sa firewall upang i-filter ang trapiko batay sa mga hostname sa halip na mga IP address. Maaari itong maging kapaki-pakinabang kung ang mga IP address ng mga server na iyong nakikipag-usap ay madaling magbago at mas gusto mong gumamit ng mga hostname na nananatiling pare-pareho.

/ip firewall filter magdagdag ng chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

Sa halimbawang ito, papayagan ng panuntunan ang palabas na TLS na trapiko sa port 443 na nakalaan para sa "example.com."

Pamamahala ng sertipiko at hostname

Sa pamamagitan ng paggamit sa opsyong "tls-host", maaari mong gawing mas madali ang pamamahala ng mga SSL/TLS certificate sa iyong network. Kung ang mga sertipiko ay nagbago o na-renew at ang hostname ay nananatiling pareho, hindi mo kakailanganing i-update ang mga panuntunan sa firewall gamit ang mga bagong IP address.

Pagbabawas ng dependency sa mga nakapirming IP address

Sa ilang mga kaso, lalo na kapag nakikipag-ugnayan sa mga serbisyong naka-host sa cloud o sa mga service provider na maaaring magbago ng mga nakatalagang IP address, ang paggamit ng "tls-host" ay nagbibigay ng abstraction layer na nagpapababa ng pag-asa sa mga nakapirming IP address.

/ip firewall filter magdagdag ng chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

Dito, ang papalabas na trapiko ng TLS sa port 8443 ay nakalaan para sa "cloud-service.com” ay papayagan anuman ang kasalukuyang IP address ng serbisyo.

Mahalagang tandaan na para maging epektibo ang opsyong "tls-host", dapat suportahan ng malayong serbisyo ang paggamit ng mga pangalan ng host sa halip na mga IP address. Hindi lahat ng serbisyo o application ay nagbibigay-daan sa kakayahang umangkop na ito, kaya mahalagang suriin ang dokumentasyon para sa partikular na serbisyo na iyong ginagamit.

 Paano I-block ang Mga Website ng HTTPS gamit ang TLS Host Matcher

1. Pumunta sa item ng menu ng IP > Firewall at i-click ang tab na Mga Panuntunan sa Pag-filter at pagkatapos ay i-click ang PLUS SIGN (+). Lumilitaw ang window ng Bagong Panuntunan ng Firewall.
2. Pumili ng pasulong mula sa String na drop-down na menu.
3. Pumili ng tcp mula sa drop-down na menu ng Protocol.
4. I-click ang Dst. Port at port entry box 443.
5. Mag-click sa tab na Advanced at mag-click sa input box ng TLS Host at ilagay ang domain name na gusto mong i-block (tulad ng *.facebook.com) sa kahon na ito.
6. I-click ang tab na Aksyon at piliin ang drop mula sa drop-down na menu ng Aksyon.
7. I-click ang Ilapat at ang OK na buton.

Panuntunan ng firewall ayon sa Command

/ip firewall filter magdagdag ng chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop