Pfsense 2.0 Layer7 как включить?

alexandrnew

что значит куда ставил?
в правилах файрволов есть опция Layer7, что для нее ставить надо?

dvserg

@alexandrnew:

что значит куда ставил?
в правилах файрволов есть опция Layer7, что для нее ставить надо?

В шейпере создать контейнер Layer7

alexandrnew

разобрался, включил, еще два вопроса:
контейнер Layer7 - может работать независимо от шейпера?
возможно создать запрещающее правило? (скайп например) - он пишет что можно только разрешающие…

alexandrnew

попробовал запретить скайп, добавив Layer7 группы скайпа, и перенаправив его на несуществующий шлюз - перенаправляет все, включая http.

dvserg

В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.
Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.

alexandrnew

@dvserg:

В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.

установлено, там другого нету…

@dvserg:

Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.

пробовал и так - ходит гад…
причем пробовал убрать остальные разрешающие правила,оставив только одно где л7...  - все равно ходит...

deutsche

А как ходит? У скайпа жеж куча вариантов пролезть. udp, tcp, https прокси.

alexandrnew

только хттпс
хттп идет через прозрачную проксю - и там белый список

dvserg

@alexandrnew:

@dvserg:

В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.

установлено, там другого нету…

@dvserg:

Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.

пробовал и так - ходит гад…
причем пробовал убрать остальные разрешающие правила,оставив только одно где л7...  - все равно ходит...

В леере для скайпа 2 варианта In и Out. Так-же логи должны быть..

alexandrnew

@dvserg:

В леере для скайпа 2 варианта In и Out. Так-же логи должны быть..

оба добавлены.
в логах - прохождение видно…
причем через это же правило идет обычный хттпс трафик (в случае когда все остальное закрыто) - такое впечатление,  что либо л7 не срабатывает, либо неправльно срабатывает
как можно увидеть лог именно л7? срабатывает или нет в шейпере лог самого шейпера.

dvserg

Ну это вот х/з. Где-то была ссылка на внешние источники по скайпу в Layer7. Там дословно 50/50 что эта функция будет работать.

deutsche

Возможно в пакете устаревшие описания протокола. Попробуйте выдрать его из последней версии пакета.

alexandrnew

дело в том что снорт на скайп тоже не реагирует, правда снорт вроде с хттпс не особо дружит (хттп проверил - таки пашет, на нмап реагирует)..