Pfsense 2.0 Layer7 как включить?
-
написано Choose a Layer7 container to apply application protocol inspection rules. These are valid for TCP and UDP protocols only.
ставил тср и хттп протокол - чего то еще не хватает, чего? -
Куда ставил? Где скриншоты?
-
что значит куда ставил?
в правилах файрволов есть опция Layer7, что для нее ставить надо? -
что значит куда ставил?
в правилах файрволов есть опция Layer7, что для нее ставить надо?В шейпере создать контейнер Layer7
-
разобрался, включил, еще два вопроса:
контейнер Layer7 - может работать независимо от шейпера?
возможно создать запрещающее правило? (скайп например) - он пишет что можно только разрешающие… -
попробовал запретить скайп, добавив Layer7 группы скайпа, и перенаправив его на несуществующий шлюз - перенаправляет все, включая http.
-
В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.
Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН. -
В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.установлено, там другого нету…
Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.
пробовал и так - ходит гад…
причем пробовал убрать остальные разрешающие правила,оставив только одно где л7... - все равно ходит... -
А как ходит? У скайпа жеж куча вариантов пролезть. udp, tcp, https прокси.
-
только хттпс
хттп идет через прозрачную проксю - и там белый список -
В контейнере Layer7 установи Block на скайп.
Как я понял трогать шейпер не обязательно.установлено, там другого нету…
Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.
пробовал и так - ходит гад…
причем пробовал убрать остальные разрешающие правила,оставив только одно где л7... - все равно ходит...В леере для скайпа 2 варианта In и Out. Так-же логи должны быть..
-
В леере для скайпа 2 варианта In и Out. Так-же логи должны быть..
оба добавлены.
в логах - прохождение видно…
причем через это же правило идет обычный хттпс трафик (в случае когда все остальное закрыто) - такое впечатление, что либо л7 не срабатывает, либо неправльно срабатывает
как можно увидеть лог именно л7? срабатывает или нет в шейпере лог самого шейпера. -
Ну это вот х/з. Где-то была ссылка на внешние источники по скайпу в Layer7. Там дословно 50/50 что эта функция будет работать.
-
Возможно в пакете устаревшие описания протокола. Попробуйте выдрать его из последней версии пакета.
-
дело в том что снорт на скайп тоже не реагирует, правда снорт вроде с хттпс не особо дружит (хттп проверил - таки пашет, на нмап реагирует)..