Pfsense 2.0 Layer7 как включить?



  • написано Choose a Layer7 container to apply application protocol inspection rules. These are valid for TCP and UDP protocols only.
    ставил тср и хттп протокол - чего то еще не хватает, чего?



  • Куда ставил? Где скриншоты?



  • что значит куда ставил?
    в правилах файрволов есть опция Layer7, что для нее ставить надо?



  • @alexandrnew:

    что значит куда ставил?
    в правилах файрволов есть опция Layer7, что для нее ставить надо?

    В шейпере создать контейнер Layer7



  • разобрался, включил, еще два вопроса:
    контейнер Layer7 - может работать независимо от шейпера?
    возможно создать запрещающее правило? (скайп например) - он пишет что можно только разрешающие…



  • попробовал запретить скайп, добавив Layer7 группы скайпа, и перенаправив его на несуществующий шлюз - перенаправляет все, включая http.




  • В контейнере Layer7 установи Block на скайп.
    Как я понял трогать шейпер не обязательно.
    Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.



  • @dvserg:

    В контейнере Layer7 установи Block на скайп.
    Как я понял трогать шейпер не обязательно.

    установлено, там другого нету…

    @dvserg:

    Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.

    пробовал и так - ходит гад…
    причем пробовал убрать остальные разрешающие правила,оставив только одно где л7...  - все равно ходит...



  • А как ходит? У скайпа жеж куча вариантов пролезть. udp, tcp, https прокси.



  • только хттпс
    хттп идет через прозрачную проксю - и там белый список



  • @alexandrnew:

    @dvserg:

    В контейнере Layer7 установи Block на скайп.
    Как я понял трогать шейпер не обязательно.

    установлено, там другого нету…

    @dvserg:

    Правило, к котрому подключается контейнер должно быть разрешающее, по которому ходит скайп. Отдельного правила для скайпа не нужно. Этом правилом может быть общее разрешающее на ЛАН.

    пробовал и так - ходит гад…
    причем пробовал убрать остальные разрешающие правила,оставив только одно где л7...  - все равно ходит...

    В леере для скайпа 2 варианта In и Out. Так-же логи должны быть..



  • @dvserg:

    В леере для скайпа 2 варианта In и Out. Так-же логи должны быть..

    оба добавлены.
    в логах - прохождение видно…
    причем через это же правило идет обычный хттпс трафик (в случае когда все остальное закрыто) - такое впечатление,  что либо л7 не срабатывает, либо неправльно срабатывает
    как можно увидеть лог именно л7? срабатывает или нет в шейпере лог самого шейпера.



  • Ну это вот х/з. Где-то была ссылка на внешние источники по скайпу в Layer7. Там дословно 50/50 что эта функция будет работать.



  • Возможно в пакете устаревшие описания протокола. Попробуйте выдрать его из последней версии пакета.



  • дело в том что снорт на скайп тоже не реагирует, правда снорт вроде с хттпс не особо дружит (хттп проверил - таки пашет, на нмап реагирует)..


Log in to reply