Re: Bloquear Sites https...
Add uma regra de accept, usando uma lista para os endereços que vc quer... a regra deve estar acima da regra de drop
Aqui na empresa, organizei o firewall da seguinte forma:
/ip firewall address-list
#adiciona o endereco na lista Exeto
add address=xxx.xxx.xxx.xxx comment=Nome_do_funcionario disabled=no list=Exeto
#Add a rede x na lista LAN
add address=xxx.xxx.xxx.xxx/24 comment=Rede-Estoque disabled=no list=LAN
#add as redes na lista liberado
add address=10.0.0.0/8 comment=Interno disabled=no list=LIBERADO
add address=172.16.250.0/24 comment=Interno disabled=no list=LIBERADO
add address=159.148.147.0/24 comment=mikrotik.com disabled=no list=LIBERADO
add address=205.251.223.0/24 comment=dl.ubnt.com disabled=no list=LIBERADO
#add endereços especificos na lista liberado
add address=23.21.93.68 comment=ubnt.com disabled=no list=LIBERADO
add address=201.48.154.18 comment=ubnt.com disabled=no list=LIBERADO
add address=201.48.154.16 comment=ubnt.com disabled=no list=LIBERADO
add address=200.160.2.3 comment=registro.br disabled=no list=LIBERADO
###############################################################
/ip firewall filter
#aceita tudo do protocolo icmp (ping por exemplo)
add action=accept chain=forward comment=ICMP-Geral disabled=no protocol=icmp
#aceita tudo de origem da lista liberado com o destino a lista LAN
add action=accept chain=forward comment="Aceitar de liberado para lan X" disabled=no dst-address-list=LAN src-address-list=LIBERADO
#aceita tudo de origem da lista LAN com destino a lista liberado
add action=accept chain=forward comment="Aceitar de lan para liberado X" disabled=no dst-address-list=LIBERADO src-address-list=LAN
#aceita tudo de qualquer origem que o destino for a lista Exeto
add action=accept chain=forward comment="Aceitar de todos para exeto X" disabled=no dst-address-list=Exeto
#aceita tudo de origem da lista exeto com qualquer destino
add action=accept chain=forward comment="Aceitar de exeto para todos X" disabled=no src-address-list=Exeto
#aceita tudo da lista lan com destino a lista lan
add action=accept chain=forward comment="Acetar tudo da lan pra lan X" disabled=no dst-address-list=LAN src-address-list=LAN
#dropa tudo da lista lan pra qualquer destino.... Que não tiver sido aceito nos listas acima é claro
add action=drop chain=forward comment="dropa tudo de origem lan X" disabled=no src-address-list=LAN
#dropa tudo de qualquer origem com destino a lista lan... Que não tiver sido aceito nos listas acima é claro
add action=drop chain=forward comment="Dropa tudo de destino lan X" disabled=no dst-address-list=LAN
#############################################################################
/ip firewall nat
#Nateia os endereços da lista lan
add action=masquerade chain=srcnat comment=Nateamento disabled=no src-address-list=LAN
Fica assim...
Coloco a(s) rede(s) que irei usar na lista LAN, assim o nateamento sera apenas pro endereços que eu quiser que sejam,
e as regras de firewall tbm já vão usar essa lista...
adiciono os endereços de sites(ou redes) que quero permitir para todos na lista Liberados,
Adiciono os endereços que eu quero que tenham acesso liberado a tudo=eu tenho " ;) " na lista exeto.
Ai assim não adianta usar programa, adicionar proxy no navegador, usar alguma criptografia nem nada, que não ira funcionar por que tudo é bloqueado, e só é aceito que quero que seja aceito...