Фильтрация HTTPS трафика в сети

странная схема... запрос днс поступает на микротик (шлюз), отфутболивается во внутреннюю сеть (на DC), затем снова через микротик проходит на днс провайдера...

 

В чем странность? На микротик->днс внутри->днс провайдера->микротик. Так большинство сетей построены. А иначе как обеспечить норм функционал AD? Доменные сети подразумевают использование локального днс сервера как основного...
Днс провайдера в ретранслите роли днс сервера прописаны.
Можно фигануть сразу напрямую ип днс сервера в локалке через опции dhcp в микротике... все равно нифига не фильтруется...

 

Не совсем понял, как вы схему описали. Странность в том, что запрос к микротику два раза идет

А зачем микротику фукционал AD?
На клиентах в сети указываются ДНСы AD
На микротике прописываются ДНСы провайдера
На ДНСе AD пропиываете в приоритет редирект либо на микротик, либо на ДНСы провайдера (если не хотите что бы микротик выступал днс-ретранслятором. в любом случае, днс-трафик пойдет через микротик)

 

сделал, сайты побежали открываться все и сразу...
в микротике ip->DNS написал DNS провайдера.
на сервере в серверах пересылки указал IP микротика
в микротике ip -> DHCP servers -> указал DNS servers адрес сервера с ролью DNS внутри сети

Я уже задолбался, не могу понять какого сайты начинают открываться, как только я прописываю в ip -> DNS внешние ДНС серверы провайера

Это правило не дает резолвить DNS серверу внутреннему запросы из своей подсети. Как только появляются в параметрах микротика другие DNS он через них спокойно это все резолвит. Соответственно, не могу понять как сделать чтобы работали address lists, потому как ему пофиг откуда прилетит запрос, все равно внутренний DNS подпадает под это правило...

 

Всё, что я писал выше, к проблеме фильтрации не относится! Это было только предложение по организации ДНС

Теперь о фильтрации. У меня работает вот такой вариант:

Код:

/ip firewall layer7-protocol
add name=social regexp=\
    "^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|ok.ru).*\\\$"

/ip firewall filter
add action=reject chain=forward comment="Social Network" disabled=yes \
    layer7-protocol=social reject-with=icmp-network-unreachable

 

Вот рабочий пример, ресурс флеши не использует, адрес листы временные-динамические.

Код:

:foreach i in=[/ip dns cache all find where (name~"facebook" || name~"instagram.com" || name~"twitter" || name~"livejournal.com" || name~"viber.com" || name~"telegram.org" || name~"vkrugudruzei" || name~"mirtesen" || name~"torrent" || name~"tracker" || name~"whatsapp" || name~"linkedin.com" || name~"my.mail.ru" || name~"tlgrm") && (type="A") ] do={
:local tmpAddress [/ip dns cache get $i address];
delay delay-time=20ms
#prevent script from using all cpu time
:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
:local cacheName [/ip dns cache get $i name] ;
:log info ("added entry: $cacheName $tmpAddress");
/ip firewall address-list add address=$tmpAddress list=block timeout=24h comment=$cacheName;
}
}

 

В версии RouterOS 6.41 стало возможным фильтровать https трафик. Например, для блокирования example.com можно использовать правило:

Код:

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.example.com action=reject

 

Это вот это в changelog?
firewall - added "tls-host" firewall matcher

 

Да. И в Вики появилось
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Properties

Вот оригинальный текст (англ)

 

А появилась ли возможность блочить tls адрес-листом? Или по паре правил на ресурс писать? Как-то концептуально некрасиво получается