Bloquear Sites https...

[nasc007]

Ola galera estou precisando bloquear sites tipo 'https://ofuxico.terra.com.br/', achei uma regra muito boa para o facebook...

add chain=forward protocol=tcp content=facebook action=add-dst-to-address-list address-list=Facebook address-list-timeout=0s comment="Bloqueio Facebook" disabled=no
add chain=forward protocol=tcp dst-port=443 dst-address-list=Facebook action=reject reject-with=icmp-host-unreachable comment="DropFacebook" disabled=no

... tentei usar a mesma regra para o site do ofuxico mas não funciona, sera que alguém poderia me ajudar, estou usando a versão 2.9.27...

[wondernetwork]

utilizo essa aqui á anos nunca falhou pega aí...

/ip firewall filter add action=drop chain=forward comment="--------------bloqueio meuip.com.br------------" content=meuip.com.br disabled=no

[wondernetwork]

tá aqui ó de mão beijada!!! rsrsrsrs

/ip firewall filter add action=drop chain=forward comment=--------------ofuxico.terra.com.brr------------ content=ofuxico.terra.com.br disabled=no

[nasc007]

wondernetwork, muito bom essa regra, vc me tirou do sufoco, muito obrigado!!!

Desculpe o abuso, mas se eu precisasse liberar uma pagina bloqueada desse jeito para uma maquina na rede seria possível...

[redslack]

Faço bloqueio aqui por Layer7
/ip firewall layer7-protocol
add name=FACEBOOK_OFF regexp=facebook.com

/ip firewall filter
add action=drop chain=forward comment="==== Bloqueio Facebook ====" disabled=no \
layer7-protocol=FACEBOOK_OFF

E estou com problemas para liberar o facebook em 03 computadores
Alguem pode me ajudar?

Lembrando uso DHCP mas atrelo IP/MAC pelo ARP e Lease

wondernetwork, muito bom essa regra, vc me tirou do sufoco, muito obrigado!!!

Desculpe o abuso, mas se eu precisasse liberar uma pagina bloqueada desse jeito para uma maquina na rede seria possível...

[xyunamx]

Add uma regra de accept, usando uma lista para os endereços que vc quer... a regra deve estar acima da regra de drop

Aqui na empresa, organizei o firewall da seguinte forma:

/ip firewall address-list
#adiciona o endereco na lista Exeto
add address=xxx.xxx.xxx.xxx comment=Nome_do_funcionario disabled=no list=Exeto
#Add a rede x na lista LAN
add address=xxx.xxx.xxx.xxx/24 comment=Rede-Estoque disabled=no list=LAN
#add as redes na lista liberado
add address=10.0.0.0/8 comment=Interno disabled=no list=LIBERADO
add address=172.16.250.0/24 comment=Interno disabled=no list=LIBERADO
add address=159.148.147.0/24 comment=mikrotik.com disabled=no list=LIBERADO
add address=205.251.223.0/24 comment=dl.ubnt.com disabled=no list=LIBERADO
#add endereços especificos na lista liberado
add address=23.21.93.68 comment=ubnt.com disabled=no list=LIBERADO
add address=201.48.154.18 comment=ubnt.com disabled=no list=LIBERADO
add address=201.48.154.16 comment=ubnt.com disabled=no list=LIBERADO
add address=200.160.2.3 comment=registro.br disabled=no list=LIBERADO
###############################################################
/ip firewall filter
#aceita tudo do protocolo icmp (ping por exemplo)
add action=accept chain=forward comment=ICMP-Geral disabled=no protocol=icmp
#aceita tudo de origem da lista liberado com o destino a lista LAN
add action=accept chain=forward comment="Aceitar de liberado para lan X" disabled=no dst-address-list=LAN src-address-list=LIBERADO
#aceita tudo de origem da lista LAN com destino a lista liberado
add action=accept chain=forward comment="Aceitar de lan para liberado X" disabled=no dst-address-list=LIBERADO src-address-list=LAN
#aceita tudo de qualquer origem que o destino for a lista Exeto
add action=accept chain=forward comment="Aceitar de todos para exeto X" disabled=no dst-address-list=Exeto
#aceita tudo de origem da lista exeto com qualquer destino
add action=accept chain=forward comment="Aceitar de exeto para todos X" disabled=no src-address-list=Exeto
#aceita tudo da lista lan com destino a lista lan
add action=accept chain=forward comment="Acetar tudo da lan pra lan X" disabled=no dst-address-list=LAN src-address-list=LAN
#dropa tudo da lista lan pra qualquer destino.... Que não tiver sido aceito nos listas acima é claro
add action=drop chain=forward comment="dropa tudo de origem lan X" disabled=no src-address-list=LAN
#dropa tudo de qualquer origem com destino a lista lan... Que não tiver sido aceito nos listas acima é claro
add action=drop chain=forward comment="Dropa tudo de destino lan X" disabled=no dst-address-list=LAN
#############################################################################
/ip firewall nat
#Nateia os endereços da lista lan
add action=masquerade chain=srcnat comment=Nateamento disabled=no src-address-list=LAN



Fica assim...
Coloco a(s) rede(s) que irei usar na lista LAN, assim o nateamento sera apenas pro endereços que eu quiser que sejam,
e as regras de firewall tbm já vão usar essa lista...
adiciono os endereços de sites(ou redes) que quero permitir para todos na lista Liberados,
Adiciono os endereços que eu quero que tenham acesso liberado a tudo=eu tenho " " na lista exeto.


Ai assim não adianta usar programa, adicionar proxy no navegador, usar alguma criptografia nem nada, que não ira funcionar por que tudo é bloqueado, e só é aceito que quero que seja aceito...