مدیریت دسترسی به سایت های HTTPs

28 لایک 3 دیدگاه

در این مقاله آموزشی قصد داریم با نحوه کنترل و مدیریت دسترسی به سایت های HTTPS در میکروتیک آشنا شویم.

اکثر وب سایت ها امروزه از پروتکل HTTPS استفاده می کنند که مدیریت دسترسی به آن ها به دلیل رمزنگاری شدن اطلاعات در تجهیزات میکروتیک پیچیده بود ولی از نسخه ۶٫۴۱ قابلیت جدیدی به فایروال میکروتیک به نام TLS Host اضافه شد که به وسیله آن می توانیم سایت های HTTPs مثل Facebook, YouTube را نیز کنترل و مدیریت کنیم.

در نظر داشته باشید برای استفاده از این قابلیت حتماً باید RouterOS خود را به نسخه ۶٫۴۱ یا بالاتر ارتقا دهید.

برای مسدود کردن دسترسی به یک سایت HTTPs به ترتیب زیر عمل می کنیم:

  • از منو IP وارد بخش Firewall شده و در تب Filter Rules روی گزینه + کلیک می کنیم
  • در کادر باز شده در Chain گزینه forward را انتخاب می کنیم ( در مقالات قبلی در مورد این Chain ها توضیحات کامل ارائه شده است )
  • در قسمت Protocol از لیست گزینه های موجود tcp را انتخاب می کنیم
  • سپس در قسمت Port مقدار پورت سرویس HTTPs معادل ۴۴۳ را وارد می کنیم
  • سپس در تب Advanced در قسمت TLS Host آدرس دامنه HTTPs مورد نظر خود را وارد می کنیم ( مثال: *.facebook.com )
  • در نهایت در تب Action می توانیم با گزینه Drop دسترسی به این سایت HTTPs را مسدود نماییم

 

نحوه اجرای این دستورات از طریق CLI به ترتیب زیر می باشد:

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop

با ایجاد رول فایروال که در بالا توضیح داده شد دسترسی به وب سایت مورد نظر شما مسدود می شود. اما ان دستورات در محیط کاربری در میکروتیک ۶٫۴۴٫۳ اجرا کرده و بدون هیچ مشکلی دسترسی به سایت های مورد نظر را مسدود کرده ایم

در صورتی که نیاز داسته باشیم برخی از کاربران ( سرور ها یا کلاینت ها یا… ) دسترسی به این سایت ها داشته باشند می توانیم با ایجاد یک Address-List در قسمت فایروال , اعمال این قانون یا rule روی ترافیک آن ها را غیر فعال کنیم تا دسترسی به سایت های HTTPs داشته باشند.

برای این منظور ابتدا از قسمت IP وارد بخش Firewall شده و در تب Address Lists روی گزینه + کلیک می کنیم.

در کادر باز شده یک نام برای Address List مدکور وارد و آدرس IP کاربران را در این لیست وارد می کنیم:

بعد از تکمیل لیست IP کاربران , در رول فایروالی که از قبل ایجاد کردیم در تب Advanced قسمت Src . Address List آن ها را مستثنا می کنیم تا دسترسی به سایت مذکور برای ایشان فراهم شود.

با سپاس
بهداد رحمانی

ممکن است دوست داشته باشید

درباره نویسنده: بهداد رحمانی

مدرس و مشاور بین المللی میکروتیک و فعال در حوزه طراحی و راه اندازی و نگهداری شبکه های وایرلس PTP و PTMP و مایکروویو...

3 دیدگاه

  1. سلام و خسته نباشد به شما
    یه سوال اینطور که من فهمیدم با TLS HOST میشه ترافیک منتهی به یه وبسایت رو پیدا کرد

    آیا با این روش میشه ترافیک منتهی به این سایت هارو منگل کرد و اونهارو هدایت کرد به WAN یا PPTP دیگه

    و ممنون از آموزش های که براحتی نمیشه تو وبسایت های فارسی پیدا کرد

    1. با سلام و احترام

      این موضوع به شرایط دیگری همچون DNS و… هم بستگی دارد ولی به طور کلی بله می توان از این قابلیت برای بخش Mangle نیز استفاده نمود.

      با سپاس از محبت شما

  2. ممنون از جواب شما
    من روت تمام DNS هارو انداختم رو PPTP تا در راه توسط زیرساخت عوض نشن و DNS درست رو میتونم پیدا کنم تو روتر
    فقط زمانی که میخوام با این روش ترافیک یه وبسایت خاص رو برای عمل روت بندازم رو PPTP درست عمل نمیکنه
    و خیلی تو اینترنت راجبش گشتم ولی نتیجه نگرفتم
    به نظر شما بهترین روش برای هدایت ترافیک یه وبسایت خاص تو PPTP چی روشی هستش

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.