Блокировка сайтов по L7

Приветствую.
Стоит RB2011UiAS.
Есть задача блокировать некоторый сайты (непотребного содержания).

Почитал темы с маркировкой пакетов в Mangle по условиям L7, но желаемое не получил.
Сделал тестовый блок, как советовал Илья в этой теме

Проблемы пока 2:
1) Пакеты маркируются (счетчик идет), но в Filter дроп-правило не срабатывает почему-то , хотя остальные правила исправно работают... я его даже в самый верх перемещал - не помогает!
Я сделал тогда правило в NAT :
/ip firewall nat
add action=netmap chain=dstnat comment="" connection-mark=Block-URL disabled=yes \
to-addresses=0.0.0.0
Такой вариант вроде работает, но, я так понимаю, это не по фен-шую?

2) Пока не получилось отловить через L7 именно те сайты, которые требуется.
А именно, не получилось закрыть группы внутри VK!
Как это можно сделать? Или они как-то шифруются и L7 их не видит?
Как пример, https://new.vk.com/moviesex
В регэкспе пробовал разные варианты:
^.+(vk.com/\moviesex).*$
^.*(moviesex).*$
^.*(\/moviesex).*$

Подскажите, где косяк?
Экспорт каких разделов показать тут, чтобы выявить проблему?

 

Илья,
Попробовал завернуть на яндекс конкретную группу:

Код:

 add address=5.255.255.70 name=".*\\.\\\?vk\\.com.*\moviesex"  

Не блокируется ничего что я неверно написал?

Мне нужно оставить ВК открытым, но закрыть внутри ВК какие-то группы.
Как вообще решать подобную задачу?

Да и остались изначальные вопросы неясными:
- почему не срабатывает правило Filter, хотя L7 распознает пакет?
- и как написать правильно регэксп для указанного примера (блокировать конкретные страницы ВНУТРИ сайта, а сам сайт оставить доступным)? Может https не всегда ловится?

 

Пошерстил инет - везде подобные варианты с L7 + Firewall описаны, но НИКАК не действует на указанные мной примеры с HTTPS.
Так эта задача не решаема получается?