Layer7 no me funciona.



  • Hola a todos buen dia..stoy probando sta nueva version la actualice ala v. 2.0.1 pfsense 2.0.acabo de implementar layer7.creo el filtro en layer7 .voy a rules creo la regla .y bueno pruebo con el youtube y me doy con la sorpresa q no surte efecto xq se pueden ver aun los videos. adjunto una imagen de mi regla. Saludos a todos comunidad.Muchas Gracias.
    ![rute layer7.jpg](/public/imported_attachments/1/rute layer7.jpg)
    ![rute layer7.jpg_thumb](/public/imported_attachments/1/rute layer7.jpg_thumb)


  • Rebel Alliance



  • aqui sta la imagen del layer7. Saludos.

    ![layer 7.jpg](/public/imported_attachments/1/layer 7.jpg)
    ![layer 7.jpg_thumb](/public/imported_attachments/1/layer 7.jpg_thumb)



  • Antony,

    Como te dice ptt creo que te dejaste cosas. Consulta las imágenes del enlace que dejó.

    Saludos,

    Josep Pujadas



  • consulte en enlace del compañero ..y bueno creo ver q sta igual donde sta dando el visto bueno.no veo q me puedo star olvidando. la regla layer7 sta x encima de las demas reglas…la lan q viene x defecto permitiendo todo lo he bloqueado y x medio de otras reglas...he permitido lo necesario. Saludos.


  • Rebel Alliance

    Te falta una Regla (en tu captura de pantalla se ven solo 2 reglas), y es justamente la que Bloquea HTTP video

    Deberias tener 3 reglas,

    La primera es la "Anti-Lockout Rule" (creada por el pfSense, por default)

    La segunda ( que es la que te esta faltando) es la que hace el PASS del trafico hacia el L7 Container que determina el Bloqueo del HTTP video

    La tercera el la "Default allow LAN to any rule " (creada por el pfSense, por default) que es la que permite Todo el trafico

    Saludos



  • Me habeis despertado la curiosidad…

    Bueno, lo explico... layer7 es inspección de paquetes (en TCP y UDP).

    Las acciones se basan en patrones. Y no todos los reproductores Flash tienen, al parecer, la misma huella. Cada portal de video se hace el reproductor a medida. Es una manera de personalizarlo y proteger, además, sus contenidos.

    Pueden cargarse patrones adicionales y también pueden diseñarse:

    http://forum.pfsense.org/index.php/topic,30125.msg159088.html#msg159088

    Los patrones existentes en un pfSense están en:

    /usr/local/share/protocols

    Antes de enviar esta intervención me decidí a añadir el patrón flash además del httpvideo. Curioso el efecto en www.youtube.com. Corta algunos videos y otros no.

    Estoy mirando ahora en http://l7-filter.sourceforge.net/protocols cómo funciona todo esto…

    Saludos,

    Josep Pujadas



  • Hola compañeros saludos.bueno stas son mis reglas completas .todas juntas para q se pueda ver mas claramente..stan todas aqui la primera q he creado el container layer 7..la segunda q me voy a rules y detecto el layer7 y la 3 q es el antilokup…y la q viene x defecto abierta atoda la lan..q la tengo desactivada. aun no veo donde me falta. aver si me guian mas claramente.disculpen la molestia compañeros. Saludos.

    ![container layer7.jpg](/public/imported_attachments/1/container layer7.jpg)
    ![container layer7.jpg_thumb](/public/imported_attachments/1/container layer7.jpg_thumb)
    ![rule layer7.jpg](/public/imported_attachments/1/rule layer7.jpg)
    ![rule layer7.jpg_thumb](/public/imported_attachments/1/rule layer7.jpg_thumb)
    ![toda la regla.jpg](/public/imported_attachments/1/toda la regla.jpg)
    ![toda la regla.jpg_thumb](/public/imported_attachments/1/toda la regla.jpg_thumb)



  • sorry la segunda imagen es la misma q la ultima solo q no la habia puesto toda completa ya en la ultima sta todo mas claramente.osea solo son 2 imagenes la primera y la ultima.Saludos.


  • Rebel Alliance

    Dos cosas:

    -Prueba con lo que menciona Bellera

    Antes de enviar esta intervención me decidí a añadir el patrón flash además del httpvideo. Curioso el efecto en www.youtube.com. Corta algunos videos y otros no.

    -Asegurate de haber limpiado la tabla de estados despues de haber creado la regla, y antes de abrir youtube para ahcer la prueba



  • Bueno…

    Google l7-filter pattern

    Documento donde se habla del uso de l7-filter y de snort-in-line (snort en conjunción con un cortafuegos). Hay un script en perl para transformar patrones de snort en patrones de l7-filter. Recomiendan l7-filter a nivel de aplicación y snort para el resto (deep inspection).
    http://www.sans.org/reading_room/whitepapers/intrusion/intrusion-prevention-l7-filter_32868

    Otros cortafuegos emplean l7-filter. Por ejemplo,
    http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7

    Hice más pruebas y la única manera que parece cortar todo es usando los patrones httpvideo, flash y http-rtsp. Pero eso tiene la pega que cualquier gadget flv queda filtrado por el patrón flash.

    Es algo raro lo del patrón http-rtsp porque flash va por http o rtmp, no por rtsp. A menos que actualmente los servidores flash también puedan emitir por rtsp…

    rtsp (TCP/UDP 554) -> http://es.wikipedia.org/wiki/Real_Time_Streaming_Protocol (Apple, Microsoft)
    rtmp (TCP 1935) -> http://en.wikipedia.org/wiki/Real_Time_Messaging_Protocol (Adobe)

    Los reproductores de flash funcionan con http y rtmp. Intentan eludir el cortafuegos cambiando el protocolo. Hay que tenerlo en cuenta si no se limitan los puertos de salida.

    A mi parecer no veo demasiado práctico emplear l7-filter pattern para cortar los vídeos de internet. Yo me decantaría por un filtrado con squid+squidguard.

    Saludos,

    Josep Pujadas



  • holaa a todos ,bueno el asunto de usar squid de preferencia tendria q ser una maquina con minimo pentium 4….con 1 giga de ram y eso dependiendo d la cantida d  clientes...amas clientes tendria q tener mejor harware y mas aun cuando se le implementa en la misma maquina donde sta el firewall. x esa misma razon no deseo usar el squid ...solo el bloqueo q podria hacerlo hasta con una pemtium 1 o  2 y con una cantida mayor de clientes. yo creo q los desarrolladores en versiones futuras tendrian q mejorar sta opcion en pfsense. solo me queda seguir haciendo pruebas. Saludos.



  • Pues otra posibilidad sería el paquete pfBlocker…

    http://forum.pfsense.org/index.php/topic,45358.0.html

    Saludos,

    Josep Pujadas


Locked