A implementação da Camada 7 (L7) no MikroTik RouterOS permite identificar e classificar o tráfego de rede com base no conteúdo real dos pacotes, em vez de apenas no endereço IP ou porta.
Isso é útil para filtrar, priorizar ou limitar tráfego específico, como bloquear sites específicos, priorizar tráfego VoIP ou limitar largura de banda para aplicativos de streaming. Veja como configurar regras da Camada 7 no MikroTik RouterOS:
1. Defina um padrão da camada 7
Primeiro, você deve criar um padrão de Camada 7 que o RouterOS usará para identificar tráfego específico. Isso é feito no menu “IP” → “Firewall” e depois na aba “Protocolos Layer7”. Aqui você pode definir um novo padrão L7.
/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"
Por exemplo, para identificar o tráfego HTTP que contém a palavra “facebook” no cabeçalho do pacote, você poderia usar uma expressão regular como esta:
add name="facebook" regexp="facebook.com"
2. Crie uma regra de firewall usando o padrão L7
Depois de definir o padrão L7, você poderá usá-lo em uma regra de firewall para filtrar ou priorizar o tráfego. Isso é feito no menu “IP” → “Firewall” e depois na aba “Regras de Filtro” ou “Mangle” dependendo do que você deseja alcançar.
- Para bloquear o tráfego:
/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7
- Para sinalizar o tráfego e depois aplicar políticas específicas (como limitação de taxa ou priorização):
/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete
Considerações Importantes
- Atuação: O uso intenso de regras L7 pode aumentar significativamente a carga na CPU do dispositivo, pois exige a inspeção do conteúdo dos pacotes. É importante monitorar o desempenho do roteador após implementar essas regras, especialmente em redes de alto tráfego.
- exactitud: As expressões regulares devem ser escritas com cuidado para garantir que apenas o tráfego desejado seja capturado. Uma expressão regular mal definida pode levar a falsos positivos ou negativos.
- Encriptação: hoje, grande parte do tráfego da Internet utiliza criptografia (como HTTPS), o que pode limitar a eficácia das regras baseadas na Camada 7 na identificação do conteúdo específico do tráfego. Para tráfego criptografado, considere métodos alternativos de identificação e controle, como bloqueio ou priorização com base em endereços IP, portas ou conexões SNI TLS.
A configuração da camada 7 no MikroTik RouterOS é uma ferramenta poderosa para gerenciamento avançado de tráfego, permitindo que administradores de rede implementem políticas de rede sofisticadas com base no conteúdo real dos pacotes de dados.
Não há tags para esta postagem.