En la versión 6.42rc (release candidate) según afirman en el foro oficial de Mikrotik, ya está en funcionamiento el parámetro TLS-Host desde los filtros del firewall, con lo cual permite marcar/controlar o filtrar ciertos sitios HTTPS que corran en TCP.
-"Permite hacer coincidir el tráfico https basado en el nombre de host TLS SNI.
-Acepta la sintaxis de GLOB para coincidencia de comodines.
El protocolo TLS (Transport Layer Security o seguridad de la capa de transporte) es solo una versión actualizada y más segura de SSL.
La indicación de nombre del servidor (SNI) es una extensión del protocolo TLS. El cliente específica a qué nombre de host desea conectarse utilizando la extensión SNI en el protocolo de enlace TLS. Esto permite que un servidor (por ejemplo, Apache, Nginx, o un equilibrador de carga como HAProxy) seleccione la clave privada correspondiente y la cadena de certificados que se requieren para establecer la conexión desde una lista o base de datos mientras alojan todos los certificados en una sola dirección IP.
Cuando se usa SNI, el nombre de host del servidor se incluye en el protocolo de enlace TLS, que permite que los sitios web de HTTPS tengan Certificados TLS únicos, incluso si están en una dirección IP compartida.
Bien ahora veamos como aplicar esta función de TLS-host en MikroTik para bloqueo de sitios.
Para esto necesitamos ir a:
/ip firewall filter add action=drop chain=forward dst-port=443 in-interface=ether3 protocol=tcp tls-host=*facebook.com*
Como lo explique al principio acepta la sintaxis GLOB (algo similar a REGEX) en este caso *facebook.com* indica que hará coincidir facebook.com con cualquier carácter pudiera ser facebook.com facebook.com.mx www.facebook.com.mx... etc.
Podemos ver en los registros que se esta bloqueando dicho sitio.