Pfsense 2.0 Layer7 как включить?

alexandrnew · Feb 9, 2011, 7:29 AM

написано Choose a Layer7 container to apply application protocol inspection rules. These are valid for TCP and UDP protocols only.
ставил тср и хттп протокол - чего то еще не хватает, чего?

dvserg · Feb 9, 2011, 7:46 AM

Куда ставил? Где скриншоты?

alexandrnew · Feb 9, 2011, 7:48 AM

что значит куда ставил?
в правилах файрволов есть опция Layer7, что для нее ставить надо?

dvserg · Feb 9, 2011, 7:53 AM

@alexandrnew:

что значит куда ставил?
в правилах файрволов есть опция Layer7, что для нее ставить надо?

В шейпере создать контейнер Layer7

alexandrnew · Feb 9, 2011, 9:56 AM

разобрался, включил, еще два вопроса:
контейнер Layer7 - может работать независимо от шейпера?
возможно создать запрещающее правило? (скайп например) - он пишет что можно только разрешающие…

alexandrnew · Feb 9, 2011, 11:28 AM

попробовал запретить скайп, добавив Layer7 группы скайпа, и перенаправив его на несуществующий шлюз - перенаправляет все, включая http.

dvserg · Feb 9, 2011, 12:42 PM

В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.
Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.

alexandrnew · Feb 9, 2011, 12:44 PM

@dvserg:

В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.

установлено, там другого нету…

@dvserg:

Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.

пробовал и так - ходит гад…
причем пробовал убрать остальные разрешающие правила,оставив только одно где л7... - все равно ходит...

deutsche · Feb 9, 2011, 12:51 PM

А как ходит? У скайпа жеж куча вариантов пролезть. udp, tcp, https прокси.

alexandrnew · Feb 9, 2011, 12:53 PM

только хттпс
хттп идет через прозрачную проксю - и там белый список

dvserg · Feb 9, 2011, 1:36 PM

@alexandrnew:

@dvserg:

В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.

установлено, там другого нету…

@dvserg:

Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.

пробовал и так - ходит гад…
причем пробовал убрать остальные разрешающие правила,оставив только одно где л7... - все равно ходит...

В леере для скайпа 2 варианта In и Out. Так-же логи должны быть..

alexandrnew · Feb 9, 2011, 2:00 PM

@dvserg:

В леере для скайпа 2 варианта In и Out. Так-же логи должны быть..

оба добавлены.
в логах - прохождение видно…
причем через это же правило идет обычный хттпс трафик (в случае когда все остальное закрыто) - такое впечатление, что либо л7 не срабатывает, либо неправльно срабатывает
как можно увидеть лог именно л7? срабатывает или нет в шейпере лог самого шейпера.

dvserg · Feb 9, 2011, 2:31 PM

Ну это вот х/з. Где-то была ссылка на внешние источники по скайпу в Layer7. Там дословно 50/50 что эта функция будет работать.

deutsche · Feb 9, 2011, 4:26 PM

Возможно в пакете устаревшие описания протокола. Попробуйте выдрать его из последней версии пакета.

alexandrnew · Feb 9, 2011, 6:33 PM

дело в том что снорт на скайп тоже не реагирует, правда снорт вроде с хттпс не особо дружит (хттп проверил - таки пашет, на нмап реагирует)..