Доброго времени суток.
Возникла следующая проблема:
Требуется в общем стандартная вещь - разрешить пользователям доступ только по определенным url'ам. До недавнего времени все работало нормально, пока не появился первый ssl.
Итак, вот пример настройки (DFL 800 2.13.00):

Alg:
name - test_alg
type - http alg
blacklist - *
whitelist - *.domain.ru/*

Service:
name - test_svc
type - tcp
source - 0-65535
dest - 80,443
alg - test_alg

Rule:
name - test_rule
action - nat
service - test_svc
source - any
dest - any

Итого, все замечательно: пользователя не пускает никуда кроме этого сайта, но как только он переходит по ссылке содержащей https, то "невозможно отобразить страницу". При этом в логе сначала видно, что правило сработало и разрешило, затем сработало alg и открыло сессию, но следующей записи "request_url_allow (или хотя бы deny)" нет.
Заранее благодарен за консультацию.

Прошу прощения за неточность: прошивка 2.11.03

Фильтровать TLS трафик с помощью ALG нельзя. Создайте отдельное разреающее правило для пользование портом 443

Copy you.
Спасибо, понял.
1) Но ведь правило разрешит весь ssl-трафик. Как мне тогда разрешить ssl-доступ только к этому url'у (например, у него не постоянный ip)?
2) И значит ли это, что я не смогу также фильтровать и pop3-трафик при помощи заданных в устройстве схем (только smtp)?

какой тогда смысл в шифровании, если мы можем расшифровать его в "средней точке" при использовании TLS никакого шифрования невозможно, потому что мы не можем "посмотреть" что на 7 уровне из-за зашифрованности.

1) Да, действительно, об этом я не подумал. Но мне не нужен просмотр содержимого, а только анализ заголовка - ведь эта информация не шифруется. Иными словами, мне нужно, чтобы пользователь мог со своего компа зайти только на https://www.site.ru/signup.asp, например.
2) а про pop3?

1) не получится так, при использовании SSL вместо обычного HTTP протокола, используется TLS с шифрованными данными и получается, что анализировать Вы можете только по IP и TCP загловкам
2) Тут всё тоже самое, при использовании TLS или другой шифрации фильтр работать не будет.

Жаль, однако все равно большое спасибо за оперативность.
Можно закрывать.