Блокировка HTTPS порт 443

debatko · 17 авг 2013, 19:49

Добрый день. Ребя подскажите как блочить HTTPS. Запарился, но заблокировать почтовые сервисы гугла или еще чьи-нибудь которые работают по защищенному протоколу не могу. помогите - как это сделать? пробовал через прокси и через firewall - не помогает

17 авг 2013, 20:01

через прокси забудьте.
как через firewall пробовали?

debatko · 18 авг 2013, 02:02

chain=forward protocol=tcp content=mail.google.com action=reject tcp-reset

Если это не верно, то приведите пример пжлст

18 авг 2013, 09:11

Вы принцип https понимаете? S на конце аббривеатуры означает что соединение шифровано! Т.е. содержимое пакетов видят только источник и получатель.

debatko · 18 авг 2013, 12:48

прекарсно понимаю:)
то есть ваш ответ: это нельзя сделать.
Я правильно понимаю?
я пробовал по порту блочить...что то не получилось.
И еще, я пониаю что знания мои и многих других людей далеки от идеала, но, мы учимся, если нет желания помогать то просто так и напишите или не пишите вообще.
Еще раз извиняюсь за вопросы начальных классов...
Но мне нужна помощь.
Кто-нибудь подскажет как забанить защищенный протокол?

18 авг 2013, 18:41

Вы правильно понимаете. Том виде, в котором вы хотите, а именно заблокировать хттпс по имени домена нельзя. Почему, читайте о том как выглядит передача данных и где этот домен передается.
Что бы заблокировать хттпс нужно блокировать передачу данных на порт 443 к нежелательному ip адресу, т.е. Сначало узнать список адресов, которым принадлежит домен, потом написать правило в одну строчку:
/ip firewall filter add chain=forward action=drop protocol=tcp dst-port=443 dst-address-list=deny_https_site
Где deny_https_site это список тех самых адресов.
Когда учишься, лучше понимать суть, а не пытаться выдернуть из примера какую то команду и применить ее себе, можно убить много времени разбираясь почему она не работает

debatko · 19 авг 2013, 13:30

в принципе я так и делал банил порт. но это крайне не удобно. например у гугла может быть адресов вагон...
спасибо за ответ. буду банить адреса и порты.

19 авг 2013, 15:44

ну к сожалению другим, более действенным путём это не обойдёшь. а если твой сотрудник\клиент будет пользоваться анонимайзерами, то и это не поможет. обычно, в этом случае идут от обратного, т.е. закрывают всё, но открывают то что надо.

debatko · 19 авг 2013, 19:27

Уже хотел)))но что то так впадлу потом открывать то что надо, это будет очень долго:)

iSupport · 23 авг 2013, 10:48

у гугла адресов вагон, а подсетей не так уж много

можно в адресс-листе указывать подсети

Блокировка HTTPS порт 443

Вход • Регистрация