Блокировка HTTPS порт 443
-
- Сообщения: 44
- Зарегистрирован: 06 авг 2013, 23:20
Добрый день. Ребя подскажите как блочить HTTPS. Запарился, но заблокировать почтовые сервисы гугла или еще чьи-нибудь которые работают по защищенному протоколу не могу. помогите - как это сделать? пробовал через прокси и через firewall - не помогает
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
-
- Сообщения: 44
- Зарегистрирован: 06 авг 2013, 23:20
chain=forward protocol=tcp content=mail.google.com action=reject tcp-reset
Если это не верно, то приведите пример пжлст
Если это не верно, то приведите пример пжлст
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Вы принцип https понимаете? S на конце аббривеатуры означает что соединение шифровано! Т.е. содержимое пакетов видят только источник и получатель.
-
- Сообщения: 44
- Зарегистрирован: 06 авг 2013, 23:20
прекарсно понимаю:)
то есть ваш ответ: это нельзя сделать.
Я правильно понимаю?
я пробовал по порту блочить...что то не получилось.
И еще, я пониаю что знания мои и многих других людей далеки от идеала, но, мы учимся, если нет желания помогать то просто так и напишите или не пишите вообще.
Еще раз извиняюсь за вопросы начальных классов...
Но мне нужна помощь.
Кто-нибудь подскажет как забанить защищенный протокол?
то есть ваш ответ: это нельзя сделать.
Я правильно понимаю?
я пробовал по порту блочить...что то не получилось.
И еще, я пониаю что знания мои и многих других людей далеки от идеала, но, мы учимся, если нет желания помогать то просто так и напишите или не пишите вообще.
Еще раз извиняюсь за вопросы начальных классов...
Но мне нужна помощь.
Кто-нибудь подскажет как забанить защищенный протокол?
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Вы правильно понимаете. Том виде, в котором вы хотите, а именно заблокировать хттпс по имени домена нельзя. Почему, читайте о том как выглядит передача данных и где этот домен передается.
Что бы заблокировать хттпс нужно блокировать передачу данных на порт 443 к нежелательному ip адресу, т.е. Сначало узнать список адресов, которым принадлежит домен, потом написать правило в одну строчку:
/ip firewall filter add chain=forward action=drop protocol=tcp dst-port=443 dst-address-list=deny_https_site
Где deny_https_site это список тех самых адресов.
Когда учишься, лучше понимать суть, а не пытаться выдернуть из примера какую то команду и применить ее себе, можно убить много времени разбираясь почему она не работает
Что бы заблокировать хттпс нужно блокировать передачу данных на порт 443 к нежелательному ip адресу, т.е. Сначало узнать список адресов, которым принадлежит домен, потом написать правило в одну строчку:
/ip firewall filter add chain=forward action=drop protocol=tcp dst-port=443 dst-address-list=deny_https_site
Где deny_https_site это список тех самых адресов.
Когда учишься, лучше понимать суть, а не пытаться выдернуть из примера какую то команду и применить ее себе, можно убить много времени разбираясь почему она не работает
-
- Сообщения: 44
- Зарегистрирован: 06 авг 2013, 23:20
в принципе я так и делал банил порт. но это крайне не удобно. например у гугла может быть адресов вагон...
спасибо за ответ. буду банить адреса и порты.
спасибо за ответ. буду банить адреса и порты.
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну к сожалению другим, более действенным путём это не обойдёшь. а если твой сотрудник\клиент будет пользоваться анонимайзерами, то и это не поможет. обычно, в этом случае идут от обратного, т.е. закрывают всё, но открывают то что надо.
-
- Сообщения: 44
- Зарегистрирован: 06 авг 2013, 23:20
Уже хотел)))но что то так впадлу потом открывать то что надо, это будет очень долго:)
-
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
у гугла адресов вагон, а подсетей не так уж много
можно в адресс-листе указывать подсети
можно в адресс-листе указывать подсети
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь