Saudações!
Uma das coisas mais complicadas é o Youtube, devido ao
fato de compartilhar servidores com outros serviços como o buscador da
Google, Gmail etc, além de ter cache em servidores que não são da
Google, assim se bloquear os IPs bloqueia coisas que não poderiam ser
bloqueadas. O Youtube e o Facebook também podem ser acessado com HTTPS,
então o bloqueio por palavra chave proxy, já não funciona.
Enfim, a solução mais fácil e segura é via DNS.
No
Mikrotik você pode fazer esse bloqueio cadastrando os endereços do
youtube e facebook como entradas estáticas no DNS, Menu IP->DNS, veja
imagens abaixo.
Fazendo testes, com HTTPS ainda acessou o Facebook, pesquisando Face no
Google e clicando no resultado com HTTPS..., então criei a regra DNS com
HTTPS no endereço também, print abaixo:
Aqui no caso criei 2 entradas pro Facebook, uma com o HTTPS
Bom, se o cliente tiver configurado o endereço de DNS com o IP do
Mikrotik, já deve ter bloqueado, caso contrário, se tiver DNS da Google
(8.8.8.8) ou outro, ainda é preciso fazer uma regra NAT no Firewall pra
redirecionar todas as consultas de DNS para o próprio Mikrotik, assim, o
cliente sempre irá usar o DNS do Mikrotik.
Então acesse IP->Firewall, aba NAT, clica no + pra adicionar uma regra, e configura assim:
Chain: dstnat
Src address: ! 10.2.2.1 -> Ip local do Mikrotik
Protocolo: UDP
Porta: 53
Pacotes destinados a porta 53 protocolo UDP são consultas DNS
Então tudo o que for consulta DNS que NÃO tiver sendo feito do próprio
Mikrotik (source address diferente do IP do Mikrotik) será feita a ação
REDIRECT para porta 53, assim irá consultar o próprio DNS do Mikrotik,
mesmo que o cliente tenha configurado outro endereço de DNS.
Na guia Action, fica consoante imagem abaixo:
Ação que redireciona
Desta forma, aqui nos meus testes, o facebook e o youtube foram
bloqueados. Embora eu imagine que o usuário ainda poderia alterar aquele
arquivo hosts (%WinDir%\System32\Drivers\Etc) na
própria máquina, se ele souber o endereço IP do facebook e for
administrador da máquina local consegue burlar esse bloqueio criando a
entrada DNS na própria máquina. Acho que isso apenas usuários avançados
conseguiriam, então até hoje creio que o bloqueio por DNS seja a melhor
solução.
Obs.: No caso de você ter fechado consultas ao Mikrotik como explicado no post anterior, Fechando acesso ao Mikrotik, lembra de ter a regra que permite as consultas DNS:
add chain=input protocol=udp port=53 action=accept