RouterOS 6.41 incorpora TLS-Host para controlar sitios HTTPS que usen TCP

Alternativa para poder manejar fitros o queues en sitios con HTTPS

En la version 6.42rc (release candidate) segun afirman en el foro oficial de Mikrotik, ya esta en funcionamiento el parametro TLC-Host desde los filtros del firewall, con lo cual permite marcar/controlar o filtrar ciertos sitios HTTPS que corran en TCP, lo cual en este ultimo tiempo nos han sido un dolor de cabezas, tal como pasaba con los que querían controlar o ecualizar los videos de youtube; se lograba conseguir a medias tintas.
Segun aclara Maxi Dobaldez en el foro, si el cliente utiliza Chrome u Opera 16, (que estimo es un buen porcentaje de los internautas) el trafico no estaría utilizando TLS ya que usa el protocolo QUIC desarrollado por un crack de Google por el 2012, el cual hace un uso eficiente de UDP para no saturar la conexión y entregar los videos con mas velocidad.

¿Quien lo prueba?

Por ejemplo, para dropear por completo el uso de facebook bastaria con dos lineas como estas. (aclaro que no lo probe, por favor comentar)

 /ip firewall filter
add chain=forward dst-port=443 protocol=tcp tls-host=facebook.com action=reject
add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject

9 Comentarios

  1. A mi me funcionó esta regla:

    /ip firewall layer7-protocol
    add comment=”” name=youtube regexp=”^.*(youtube).*\$”

    /ip firewall filter
    add action=drop chain=forward comment=”” disabled=no layer7-protocol=youtube src-address=192.168.0.x(ip que no debe tener youtube)

    En in-interface poner la interface lan y bloqueado.

  2. /ip firewall filter
    add action=drop chain=forward comment=Youtube content=youtube src-address=!192.168.1.180-192.168.1.200
    add action=drop chain=forward content=facebook src-address=!192.168.1.180-192.168.1.200
    add action=drop chain=forward content=twitter src-address=!192.168.1.180-192.168.1.200

    Uso contenido y me está funcionando muy bien.
    el rango de ip 192.168.1.180-192.168.1.200 son excepción. es decir que tienen youtube. facebook , twitter. todas las demas no tienen.

    antes probé con layer7 pero no me fue bien. no recuerdo este momento que pasó.

  3. Hola, muy buen sitio, tengo una duda al aplicar el bloqueo me gustaría que la ip que intente ingresar al sitio bloqueado se vaya a un address list para dejarla registrada en esa lista… sólo con el fin de saber cuales han sido las ip que han tratado de ingresar a sitios bloqueados. como podría generar esa lista?

    Espero me puedan ayudar.

    Saludos.

  4. Phqr58, Perdon por responder después de un mes, a veces ando a mil y los leo cuando puedo. Con respecto a tu respuesta. SI, Con content te va a funcionar, pero cada vez que dentro de un sitio, por fuera de youtube haya una palabra o un Iframe con youtube, tambien te lo va a matchear.

  5. Gracias por la colaboración! es excelente el post. El problema que tengo actualmente es que sigo buscando filtrar Whatsapp.. el CIDR es gigante.

Deja un comentario