L'implementazione del Layer 7 (L7) in MikroTik RouterOS consente di identificare e classificare il traffico di rete in base al contenuto effettivo dei pacchetti, piuttosto che solo all'indirizzo IP o alla porta.
Ciò è utile per filtrare, dare priorità o limitare traffico specifico, come bloccare siti Web specifici, dare priorità al traffico VoIP o limitare la larghezza di banda per le applicazioni di streaming. Ecco come configurare le regole Layer 7 in MikroTik RouterOS:
1. Definire un modello di livello 7
Innanzitutto, devi creare un modello Layer 7 che RouterOS utilizzerà per identificare il traffico specifico. Ciò avviene nel menu “IP” → “Firewall” e poi nella scheda “Protocolli Layer7”. Qui puoi definire un nuovo pattern L7.
/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"
Ad esempio, per identificare il traffico HTTP che contiene la parola "facebook" nell'intestazione del pacchetto, potresti utilizzare un'espressione regolare come questa:
add name="facebook" regexp="facebook.com"
2. Creare una regola del firewall utilizzando il modello L7
Dopo aver definito il modello L7, puoi utilizzarlo in una regola firewall per filtrare o assegnare priorità al traffico. Questo viene fatto nel menu “IP” → “Firewall” e poi nella scheda “Regole filtro” o “Mangle” a seconda di ciò che si desidera ottenere.
- Per bloccare il traffico:
/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7
- Per segnalare il traffico e poi applicare policy specifiche (come limitazione della velocità o definizione delle priorità):
/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete
Considerazioni importanti
- Performance: L'uso intenso delle regole L7 può aumentare significativamente il carico sulla CPU del dispositivo, poiché richiede l'ispezione del contenuto dei pacchetti. È importante monitorare le prestazioni del router dopo aver implementato queste regole, soprattutto sulle reti ad alto traffico.
- Precisione: le espressioni regolari devono essere scritte con attenzione per garantire che venga catturato solo il traffico desiderato. Un'espressione regolare mal definita può portare a falsi positivi o negativi.
- Crittografia: Oggi, gran parte del traffico Internet utilizza la crittografia (come HTTPS), che può limitare l'efficacia delle regole basate su Layer 7 nell'identificazione del contenuto specifico del traffico. Per il traffico crittografato, prendi in considerazione metodi alternativi di identificazione e controllo, come il blocco o la definizione delle priorità in base a indirizzi IP, porte o connessioni SNI TLS.
La configurazione Layer 7 in MikroTik RouterOS è un potente strumento per la gestione avanzata del traffico, consentendo agli amministratori di rete di implementare sofisticate policy di rete basate sul contenuto effettivo dei pacchetti di dati.
Non ci sono tag per questo post.