L'implementazione del Layer 7 (L7) in MikroTik RouterOS consente di identificare e classificare il traffico di rete in base al contenuto effettivo dei pacchetti, piuttosto che solo all'indirizzo IP o alla porta.

Ciò è utile per filtrare, dare priorità o limitare traffico specifico, come bloccare siti Web specifici, dare priorità al traffico VoIP o limitare la larghezza di banda per le applicazioni di streaming. Ecco come configurare le regole Layer 7 in MikroTik RouterOS:

1. Definire un modello di livello 7

Innanzitutto, devi creare un modello Layer 7 che RouterOS utilizzerà per identificare il traffico specifico. Ciò avviene nel menu “IP” → “Firewall” e poi nella scheda “Protocolli Layer7”. Qui puoi definire un nuovo pattern L7.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

Ad esempio, per identificare il traffico HTTP che contiene la parola "facebook" nell'intestazione del pacchetto, potresti utilizzare un'espressione regolare come questa:

add name="facebook" regexp="facebook.com"

2. Creare una regola del firewall utilizzando il modello L7

Dopo aver definito il modello L7, puoi utilizzarlo in una regola firewall per filtrare o assegnare priorità al traffico. Questo viene fatto nel menu “IP” → “Firewall” e poi nella scheda “Regole filtro” o “Mangle” a seconda di ciò che si desidera ottenere.

• Per bloccare il traffico:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• Per segnalare il traffico e poi applicare policy specifiche (come limitazione della velocità o definizione delle priorità):

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

Considerazioni importanti

• Performance: L'uso intenso delle regole L7 può aumentare significativamente il carico sulla CPU del dispositivo, poiché richiede l'ispezione del contenuto dei pacchetti. È importante monitorare le prestazioni del router dopo aver implementato queste regole, soprattutto sulle reti ad alto traffico.
• Precisione: le espressioni regolari devono essere scritte con attenzione per garantire che venga catturato solo il traffico desiderato. Un'espressione regolare mal definita può portare a falsi positivi o negativi.
• Crittografia: Oggi, gran parte del traffico Internet utilizza la crittografia (come HTTPS), che può limitare l'efficacia delle regole basate su Layer 7 nell'identificazione del contenuto specifico del traffico. Per il traffico crittografato, prendi in considerazione metodi alternativi di identificazione e controllo, come il blocco o la definizione delle priorità in base a indirizzi IP, porte o connessioni SNI TLS.

La configurazione Layer 7 in MikroTik RouterOS è un potente strumento per la gestione avanzata del traffico, consentendo agli amministratori di rete di implementare sofisticate policy di rete basate sul contenuto effettivo dei pacchetti di dati.