Фильтрация https трафика.

Обсуждение ПО и его настройки
Ответить
electro777
Сообщения: 54
Зарегистрирован: 04 сен 2016, 01:10

Всем доброго дня. В последних версиях mikrotik заявлено, что теперь он наконец-то умеет фильтровать https трафик. Как это можно организовать я так и не понял, ни о какой подмене сертификата речи не идет.Каким образом вообще лучше фильтровать трафик в mikrotik. Знаю вариант с использованием L7 протокола, но тут не советуют ибо сильно грузит железяку.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

1) Если в address-list в качестве IP указать домен, то роутер автоматически срезолвит все доступные IP. Далее можно делать простую блокировку запросов на эти адрес листы ( IP ).
2) В фаерволе есть поле tls-host, которое ищет в пакетах рукопожатия поле с доменом. Не 100% вариант, т.к. если пакет рукопожатия будет фрагментирован, то домен выделить не получится...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить