Opis stanowi wyłącznie przykład, implementacje na poszczególnych routerach mogą różnić się w zależności od budowy sieci i zastosowanych rozwiązań.

1. Całkowite zablokowanie HTTPS

Aby całkowicie zablokować HTTPS na kontach z wyłączonym internetem należy wyłączyć regułę:

IP -> Firewall -> NAT -> netoff port 443.

2. Blokada poczty

IP -> Firewall -> NAT -> netoff port: 25 ,110,  587, 995

3. Blokada HTTPS po 20 minutach aktywności

Poniższe reguły pozwalają na odblokowanie portu SSL przez 20 minut od pierwszej aktywności klienta.
Po 20 minutach ruch na porcie jest blokowany na kolejne 40 minut.

Na routerach Core należy wkleić kod łańcucha “ssl_20min”:

/ip firewall nat
add action=return chain=ssl_20min comment="SSL 20 minON, 40min OFF" src-address-list=!payment__off
add action=add-src-to-address-list address-list=ssl_20min_allow address-list-timeout=20m chain=ssl_20min protocol=tcp src-address-list=!ssl_20min_ack
add action=add-src-to-address-list address-list=ssl_20min_ack address-list-timeout=1h chain=ssl_20min limit=1,5 protocol=tcp src-address-list=!ssl_20min_ack
add chain=ssl_20min protocol=tcp src-address-list=ssl_20min_allow
add action=redirect chain=ssl_20min protocol=tcp src-address-list=ssl_20min_ack to-ports=0
add action=return chain=ssl_20min

Zmiana akcji w regule netoff dst-port 443 jak poniżej: