Layer 7



  • jag skulle vilja skapa brandväggsregel baserad på layer 7, men när jag ska skapa containern så finns inte accept med som alternativ, bara reject/deny etc.

    kan L7 regler bara skapas som NEKANDE?, jag vill tillåta torrenttraffik och sätta regeln i Floating interfaces

    som det är nu går inte torrent traffik igenom, och portar varierar, torrent klienter varierar etc etc

    det enklaste verkar vara en L7 regel i Floating, men hur gör man för att få regeln jakande?, eller blir det nån konstig variant av neka den nekande regeln , typ "dubbel negation=allow"???

    förvirrad här



  • @hplc:

    kan L7 regler bara skapas som NEKANDE?

    Ja, layer 7-regler kan bara blockera trafik.

    Så vitt jag förstår kan du dock kringgå den begränsningen om du väljer att styra om trafiken till traffic shaping i stället.

    det enklaste verkar vara en L7 regel i Floating

    Jag är inte övertygad om att det blir så enkelt.

    Flytande regler är mer komplicerade än interface-baserade och det är lätt hänt att effekten blir en annan än den avsedda. Sedan så finns det massor med varningar om begränsningar vid användning av layer 7. Det är givetvis väldigt processorkrävande att gå så djupt in i paketen, om trafiken är krypterad så fungerar inte identifieringen alls och generellt så är även okrypterad bittorrent svårt att identifiera tillförlitligt.

    Notera att jag har ingen erfarenhet av att använda layer 7, utan ovanstående är enbart baserat på min läsning om det i e-boken pfSense: The Definitive Guide ver 2.1.


Log in to reply