MikroTik Chặn trang web với TLS Host Firewall Matcher

Hầu hết các trang web hiện nay đều sử dụng https và việc chặn các trang web https khó hơn rất nhiều với phiên bản MikroTik RouterOS nhỏ hơn 6.41. Nhưng từ RouterOS v6.41, MikroTik Firewall giới thiệu một thuộc tính mới có tên là TLS Hos t có khả năng khớp với các trang web https một cách dễ dàng. Vì vậy, việc chặn các trang web https như Facebook, YouTube, v.v. có thể dễ dàng thực hiện với Bộ định tuyến MikroTik nếu phiên bản RouterOS lớn hơn 6.41. Trong bài viết trước của tôi, tôi đã thảo luận về cách chặn trang web bằng Bộ định tuyến MikroTik bằng giao thức lớp 7 . Trong bài viết này, tôi sẽ thảo luận về cách chặn các trang web https bằng Tường lửa MikroTik bằng TLS Host matcher.

Cách chặn trang web HTTPS bằng TLS Host Matcher

Máy chủ TLS là một thuộc tính mới của Tường lửa MikroTik. Vì vậy, chỉ có sẵn phiên bản RouterOS lớn hơn 6.41. Nếu phiên bản RouterOS của bạn thấp hơn 6.41, hãy nâng cấp RouterOS lên phiên bản không có lỗi mới nhất và sau đó thực hiện các bước sau để chặn các trang web bằng TLS Host matcher.

• Go to IP > Firewall menu item and click on Filter Rules tab and then click on PLUS SIGN (+). New Firewall Rule window will appear.
• Choose forward from Chain dropdown menu.
• Choose tcp from Protocol dropdown menu.
• Click on Dst. Port input box and put 443.
• Click on Advanced tab and click on TLS Host input box and put your desired domain name that you want to block (such as *.facebook.com) in this box.
• Click on Action tab and choose drop from Action dropdown menu.
• Click Apply and OK button.

Ngoài ra, bạn có thể áp dụng lệnh sau để tạo quy tắc tường lửa chặn này.

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop

Trang web mong muốn của bạn bây giờ sẽ bị chặn với quy tắc chặn ở trên. Tôi đã tạo và thử nghiệm quy tắc này trong RouterOS v6.44.3 và quy tắc này hoạt động bình thường. Vì vậy, hãy thử sức mình và hy vọng bạn sẽ nhận được kết quả.

Đôi khi, bạn có thể cần cho phép một trang web bị chặn đối với một người dùng cụ thể. Trong trường hợp này, bạn phải tạo một Quy tắc lọc khác sẽ chấp nhận một số địa chỉ IP người dùng cụ thể. Trong phần tiếp theo, chúng ta sẽ biết cách cho phép người dùng truy cập vào các trang web bị chặn.

Cách cho phép người dùng truy cập vào trang web bị chặn

Quy tắc lọc ở trên mà chúng tôi đã tạo sẽ chặn tất cả người dùng trong mạng LAN của bạn. Nhưng đôi khi bạn có thể cần cho phép một số người dùng cụ thể truy cập vào các trang web bị chặn. Các bước sau đây sẽ chỉ ra cách tạo một quy tắc lọc khác cho phép một nhóm người dùng có quyền truy cập vào các trang web bị chặn.

• Go to IP > Firewall menu item and click on Filter Rules tab and then click on PLUS SIGN (+). New Firewall Rule window will appear.
• Choose forward from Chain dropdown menu.
• Choose tcp from Protocol dropdown menu.
• Click on Dst. Port input box and put 443.
• Click on Advanced tab and put a group name (such as Facebook Allowed Users) in Src. Address List input box and click on TLS Host input box and put your desired domain name that you want to allow (such as *.facebook.com) in this box.
• Click on Action tab and choose accept from Action dropdown menu.
• Click Apply and OK button.

Quy tắc được phép đã được tạo. Bây giờ hãy đặt quy tắc được phép này lên trên quy tắc đã bỏ. Nếu không, người dùng được phép sẽ tuân theo quy tắc bị bỏ và không truy cập được vào trang web mong muốn.

Chúng tôi đã cho phép trang web bị chặn vào một nhóm nhưng không chỉ định người dùng của nhóm đó. Các bước sau đây sẽ chỉ ra cách thêm IP vào nhóm người dùng được phép.

• Go to IP > Firewall menu item and click on Address Lists tab and then click on PLUS SIGN (+). New Firewall Address List window will appear.
• Choose your created group name (Facebook Allowed Users) from Name dropdown menu.
• Put user IP (such as 10.10.10.2) that you want to add this group in Address input field.
• Click Apply and OK button.