Manual: IP / Firewall / L7
Ringkasan
Layer7-protokol adalah metode mencari pola dalam ICMP / TCP / aliran UDP.L7 matcher mengumpulkan 10 paket pertama dari koneksi atau 2KB pertama koneksi dan mencari pola dalam data yang dikumpulkan. Jika pola ini tidak ditemukan dalam data yang dikumpulkan, matcher berhenti memeriksa lebih lanjut. Memori yang dialokasikan dibebaskan dan protokol dianggap sebagai tidak dikenal. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan memori dan penggunaan CPU. Untuk menghindari hal ini, tambahkan matchers firewall teratur untuk mengurangi jumlah data yang dikirimkan ke lapisan-7 filter berulang kali.
persyaratan tambahan adalah bahwa matcher Layer7 harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini aturan l7 harus diatur dalam rantai ke depan. Jika aturan diatur dalam rantai input / prerouting maka aturan yang sama harus juga diatur dalam rantai produksi / postrouting, jika data yang dikumpulkan mungkin tidak lengkap sehingga pola tidak benar cocok.
Pola contoh L7 kompatibel dengan RouterOS dapat ditemukan di halaman proyek l7-filter .
Daftar protokol umum di sini . Membuka arsip dan menemukan protokol atau file pola yang dibutuhkan dan menggunakannya dalam aturan filter L7 Anda.
Peringatan: Dalam beberapa kasus ketika lapisan 7 ekspresi reguler tidak dapat dilakukan, RotuerOS akan log topic = firewall, peringatan dengan pesan kesalahan yang menyatakan masalah dalam pesan
Peringatan: Layer 7 pencocok kasus sensitif
properti
Sub-menu:
/ip firewall layer7-protocol | Milik | Deskripsi |
|---|---|
| Nama (string; Default:) | Nama deskriptif pola l7 digunakan oleh konfigurasi dalam aturan firewall. Lihat contoh >> . |
| regexp (string; Default:) | POSIX compliant ekspresi reguler digunakan untuk mencocokkan pola. |
contoh
Sederhana L7 contoh penggunaan
Pertama, tambahkan Regexp string ke menu protokol, untuk menentukan string Anda akan mencari. Dalam contoh ini kita akan menggunakan pola untuk mencocokkan paket rdp./ Firewall ip Layer7-protokol menambahkan nama = rdp regexp = "rdpdr. * cliprdr. * rdpsnd"Kemudian, gunakan protokol yang didefinisikan dalam firewall.
/ Ip firewall filter # Menambahkan beberapa protokol yang dikenal untuk mengurangi penggunaan mem menambahkan action = menerima rantai = maju comment = "" disabled = no port = 80 protocol = tcp menambahkan action = menerima rantai = maju comment = "" disabled = no port = 443 protokol = tcp # Menambahkan matcher l7 menambahkan action = menerima rantai = maju comment = "" disabled = no Layer7-protocol = \ protokol rdp = tcpSeperti yang Anda lihat sebelum aturan l7 kami menambahkan beberapa aturan biasa yang akan cocok dengan dikenal lalu lintas sehingga mengurangi penggunaan memori.
L7 dalam rantai masukan
Dalam contoh ini kita akan mencoba untuk mencocokkan protokol telnet menghubungkan ke router kami. / Ip firewall Layer7-protocol add comment = "" name = telnet regexp = "^ \\ xff [\\ xfB - \\ XFE] \\ xff [\\ xfB - \\ XFE].. \\ Xff [\\ xfB - \\ XFE] "
Perhatikan bahwa kita perlu kedua arah itu sebabnya kita perlu juga aturan l7 dalam rantai output yang melihat paket keluar. / Ip firewall filter menambahkan action = menerima rantai = input comment = "" disabled = no Layer7-protocol = telnet \ protokol = tcp menambahkan action = rantai passthrough = keluaran comment = "" disabled = no Layer7-protocol = telnet \ protokol = tcp
Youtube matcher
/ Firewall ip Layer7-protokol menambahkan nama = youtube regexp = "(GET \\ / videoplayback \\\ |?. GET \\ / crossdomain \\ xml)"
Catatan: Ketika pengguna login youtube akan menggunakan HTTPS, yang berarti bahwa L7 tidak akan dapat mencocokkan lalu lintas ini. Hanya HTTP tidak terenkripsi dapat dicocokkan.
Tidak ada komentar:
Posting Komentar