Как правильно добавить сайт в исключение на Микротике?

Question

[Кирилл]

Для офиса на Микротике я блокирую все соединения по 80 и 443 портам, и пропускаю весь трафик через прокси-сервер. Т.е., любой сайт доступен только через прокси.

Но потребовалось сделать исключение. Один сайт нужно сделать доступным напрямую. Не через прокси.

Правила блокировки 80 и 443 порта стандартные:

add action=reject chain=forward dst-address=0.0.0.0/0 dst-port=80 \
    in-interface=ether1 protocol=tcp reject-with=\
    icmp-network-unreachable src-address-list=no_http

add action=reject chain=forward dst-address=0.0.0.0/0 dst-port=443 \
    in-interface=ether1 protocol=tcp reject-with=\
    icmp-protocol-unreachable src-address-list=no_http

Всем, кто в листе no_http, режется трафик по 80 и 443 порту.

Как добавить исключение в такое правило? Например, чтобы по 443 порту был доступен только один единственный сайт. Например, vk.com. А весь остальной трафик по 443 и 80 портам резался.

Answer 1

[iilin]

Микротик не умеет испорльзовать в файрволе DNS имена.

Создайте список IP address list с исключениями

/ip firewall address-list add list=http address=[:resolve vk.com]

И откоректируйте правило

dst-address-list=!http

Answer 2

[Gregory]

начиная с версии v6.36, в адресные листы можно добавлять доменные имена!

*) firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);