L'aplicació de Layer 7 (L7) a MikroTik RouterOS permet identificar i classificar el trànsit de xarxa basant-se en el contingut real dels paquets, en lloc de només a l'adreça IP o al port.
Això és útil per filtrar, prioritzar o limitar el trànsit específic, com ara bloquejar llocs web específics, prioritzar el trànsit de VoIP o limitar l'amplada de banda per a aplicacions de streaming. A continuació, es descriu com configurar regles de Layer 7 a MikroTik RouterOS:
1. Definir un Patró de Layer 7
Primer, has de crear un patró de Layer 7 que RouterOS utilitzarà per identificar el trànsit específic. Això es fa al menú “IP” → “Firewall” i després a la pestanya “Layer7 Protocols”. Aquí podeu definir un nou patró L7.
/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"
Per exemple, per identificar el trànsit HTTP que contingui la paraula “facebook” a la capçalera del paquet, podries fer servir una expressió regular com aquesta:
add name="facebook" regexp="facebook.com"
2. Crear una Regla de Firewall Utilitzant el Patró L7
Després de definir el patró L7, el podeu utilitzar en una regla de tallafocs per filtrar o prioritzar el trànsit. Això es fa al menú “IP” → “Firewall” i després a la pestanya “Filter Rules” o “Mangle” segons el que vulguis aconseguir.
- Per bloquejar el trànsit:
/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7
- Per marcar el trànsit i després aplicar polítiques específiques (com a limitació de velocitat o priorització):
/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete
Consideracions importants
- Rendiment: L'ús intensiu de regles L7 pot augmentar significativament la càrrega al CPU del dispositiu, ja que requereix inspeccionar el contingut dels paquets. És important monitoritzar el rendiment del router després d'implementar aquestes regles, especialment en xarxes amb molt de trànsit.
- exactitud: Les expressions regulars han de ser escrites amb cura per assegurar que només es capturi el trànsit desitjat. Una expressió regular mal definida pot conduir a falsos positius o negatius.
- xifrat: En l'actualitat, molt de trànsit d'Internet utilitza xifratge (com HTTPS), cosa que pot limitar l'efectivitat de les regles basades en Layer 7 per identificar el contingut específic del trànsit. Per al trànsit xifrat, considera mètodes alternatius didentificació i control, com el bloqueig o la priorització basada en adreces IP, ports, o connexions SNI TLS.
La configuració de Layer 7 a MikroTik RouterOS és una eina poderosa per a la gestió avançada del trànsit, permetent als administradors de xarxa implementar polítiques de xarxa sofisticades basades en el contingut real dels paquets de dades.
No hi ha etiquetes per a aquesta publicació.