Çoğu web sitesi artık https kullanıyor ve MikroTik RouterOS'un 6.41'den düşük sürümüyle https web sitelerini engellemek çok daha zor. Ancak RouterOS v6.41'den başlayarak MikroTik Güvenlik Duvarı, adı verilen yeni bir özelliği tanıtıyor. TLS Hos https web siteleriyle çok kolay eşleşebilen bir özellik. 

Bu nedenle Facebook, YouTube vb. https web sitelerini engellemek. RouterOS sürümü 6.41 üzeri ise MikroTik Router ile rahatlıkla yapılabilmektedir. 

Ana bilgisayar adlarına göre filtreleme

Trafiği IP adresleri yerine ana bilgisayar adlarına göre filtrelemek için güvenlik duvarı kurallarında “tls-host”u kullanabilirsiniz. İletişim kurduğunuz sunucuların IP adresleri değişmeye yatkınsa ve sabit kalan ana bilgisayar adlarını kullanmayı tercih ediyorsanız bu yararlı olabilir.

/ip güvenlik duvarı filtresi zincir ekle=ileri dst-port=443 protokol=tcp tls-host=example.com action=kabul et

Bu örnekte kural, giden TLS trafiğinin "example.com"a yönelik 443 numaralı bağlantı noktasına gitmesine izin verecektir.

Sertifika ve ana bilgisayar adı yönetimi

“tls-host” seçeneğini kullanarak ağınızdaki SSL/TLS sertifikalarının yönetimini kolaylaştırabilirsiniz. Sertifikaların değişmesi veya yenilenmesi ve ana bilgisayar adının aynı kalması durumunda güvenlik duvarı kurallarını yeni IP adresleriyle güncellemenize gerek kalmayacaktır.

Sabit IP adreslerine bağımlılığın azaltılması

Bazı durumlarda, özellikle bulutta barındırılan hizmetlerle veya atanmış IP adreslerini değiştirebilecek hizmet sağlayıcılarla etkileşimde bulunurken, "tls-host" kullanmak, sabit IP adreslerine bağımlılığı azaltan bir soyutlama katmanı sağlar.

/ip güvenlik duvarı filtresi zincir ekle=ileri dst-port=8443 protokol=tcp tls-host=cloud-service.com action=kabul et

Burada, 8443 numaralı bağlantı noktasına giden TLS trafiği "cloud-service.comHizmetin mevcut IP adresinden bağımsız olarak izin verilecektir.

"tls-host" seçeneğinin etkili olabilmesi için uzak hizmetin IP adresleri yerine ana bilgisayar adlarının kullanımını desteklemesi gerektiğini unutmamak önemlidir. Tüm hizmetler veya uygulamalar bu esnekliğe izin vermediğinden, kullandığınız belirli hizmete ilişkin belgeleri incelemeniz çok önemlidir.

 TLS Host Matcher ile HTTPS Web Siteleri Nasıl Engellenir?

1. IP > Güvenlik Duvarı menü öğesine gidin ve Filtreleme Kuralları sekmesine tıklayın ve ardından ARTI İŞARETİ'ne (+) tıklayın. Yeni Güvenlik Duvarı Kuralı penceresi görünür.
2. Dize açılır menüsünden ileriyi seçin.
3. Protokol açılır menüsünden tcp'yi seçin.
4. Dst'yi tıklayın. Bağlantı noktası ve bağlantı noktası giriş kutusu 443.
5. Gelişmiş sekmesine tıklayın ve TLS Host giriş kutusuna tıklayın ve engellemek istediğiniz alan adını (*.facebook.com gibi) bu kutuya girin.
6. Eylem sekmesine tıklayın ve Eylem açılır menüsünden açılır menüyü seçin.
7. Uygula'yı ve Tamam düğmesini tıklayın.

Komuta Göre Güvenlik Duvarı Kuralı

/ip güvenlik duvarı filtresi zincir ekle=ileri dst-port=443 protokol=tcp tls-host=*.facebook.com action=bırak