Alternativa para poder manejar fitros o queues en sitios con HTTPS
En la version 6.42rc (release candidate) segun afirman en el foro oficial de Mikrotik, ya esta en funcionamiento el parametro TLC-Host desde los filtros del firewall, con lo cual permite marcar/controlar o filtrar ciertos sitios HTTPS que corran en TCP, lo cual en este ultimo tiempo nos han sido un dolor de cabezas, tal como pasaba con los que querían controlar o ecualizar los videos de youtube; se lograba conseguir a medias tintas.
Segun aclara Maxi Dobaldez en el foro, si el cliente utiliza Chrome u Opera 16, (que estimo es un buen porcentaje de los internautas) el trafico no estaría utilizando TLS ya que usa el protocolo QUIC desarrollado por un crack de Google por el 2012, el cual hace un uso eficiente de UDP para no saturar la conexión y entregar los videos con mas velocidad.
¿Quien lo prueba?
Por ejemplo, para dropear por completo el uso de facebook bastaria con dos lineas como estas. (aclaro que no lo probe, por favor comentar)
/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=facebook.com action=reject add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
hola si funciona para facebook, ahora puse los mismo para youtube(cambiando obviamente el tsl-host, *.youtube.com, *.googlevideo.com) y no funco, alguna sugerencia?
Proba usando Internet Explorer (o Edge) o Safari, o Firefox y contame.
A mi me funcionó esta regla:
/ip firewall layer7-protocol
add comment=»» name=youtube regexp=»^.*(youtube).*\$»
/ip firewall filter
add action=drop chain=forward comment=»» disabled=no layer7-protocol=youtube src-address=192.168.0.x(ip que no debe tener youtube)
En in-interface poner la interface lan y bloqueado.
/ip firewall filter
add action=drop chain=forward comment=Youtube content=youtube src-address=!192.168.1.180-192.168.1.200
add action=drop chain=forward content=facebook src-address=!192.168.1.180-192.168.1.200
add action=drop chain=forward content=twitter src-address=!192.168.1.180-192.168.1.200
Uso contenido y me está funcionando muy bien.
el rango de ip 192.168.1.180-192.168.1.200 son excepción. es decir que tienen youtube. facebook , twitter. todas las demas no tienen.
antes probé con layer7 pero no me fue bien. no recuerdo este momento que pasó.
Hola, muy buen sitio, tengo una duda al aplicar el bloqueo me gustaría que la ip que intente ingresar al sitio bloqueado se vaya a un address list para dejarla registrada en esa lista… sólo con el fin de saber cuales han sido las ip que han tratado de ingresar a sitios bloqueados. como podría generar esa lista?
Espero me puedan ayudar.
Saludos.
Phqr58, Perdon por responder después de un mes, a veces ando a mil y los leo cuando puedo. Con respecto a tu respuesta. SI, Con content te va a funcionar, pero cada vez que dentro de un sitio, por fuera de youtube haya una palabra o un Iframe con youtube, tambien te lo va a matchear.
Hola Esteba, si, se puede, y no creerías lo fácil que es, por eso te arme un post especial para vos.
http://www.tech-nico.com/blog/routeros-tip-con-tls-host-identificar-clientes-accediendo-a-sitios-https/
Excelente, voy a probarlo. gracias!
Gracias por la colaboración! es excelente el post. El problema que tengo actualmente es que sigo buscando filtrar Whatsapp.. el CIDR es gigante.
Hola amigo,
Estoy buscando una manera de hacer login con whatsapp desde el hostpot, te explico.
Cuando haga click en el boton whatsapp, que me abra directamente el whatsapp, para poder enviar un mensaje, nada mas.
El problema es el sgte. Si abro esta pagina del login con chrome, y le doy click al boton whatsap, si me abre directamtente el whatsapp, pero cuando es el browser del hostpot(que no es chrome), no me abre el whatsapp, me sale un error que no puede cargar la pag.
Este es link del boton
Click aquí
De 4 celulares android, en 2 si funciona, y 2 no, probablemente sea un bug de los celulares.
Agregue whatsapp en walled garden, las ips en walled garden IP list.
Si lo puedes solucionar me avisas, saludos.