A implementação da Camada 7 (L7) no MikroTik RouterOS permite identificar e classificar o tráfego de rede com base no conteúdo real dos pacotes, em vez de apenas no endereço IP ou porta.

Isso é útil para filtrar, priorizar ou limitar tráfego específico, como bloquear sites específicos, priorizar tráfego VoIP ou limitar largura de banda para aplicativos de streaming. Veja como configurar regras da Camada 7 no MikroTik RouterOS:

1. Defina um padrão da camada 7

Primeiro, você deve criar um padrão de Camada 7 que o RouterOS usará para identificar tráfego específico. Isso é feito no menu “IP” → “Firewall” e depois na aba “Protocolos Layer7”. Aqui você pode definir um novo padrão L7.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

Por exemplo, para identificar o tráfego HTTP que contém a palavra “facebook” no cabeçalho do pacote, você poderia usar uma expressão regular como esta:

add name="facebook" regexp="facebook.com"

2. Crie uma regra de firewall usando o padrão L7

Depois de definir o padrão L7, você poderá usá-lo em uma regra de firewall para filtrar ou priorizar o tráfego. Isso é feito no menu “IP” → “Firewall” e depois na aba “Regras de Filtro” ou “Mangle” dependendo do que você deseja alcançar.

• Para bloquear o tráfego:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• Para sinalizar o tráfego e depois aplicar políticas específicas (como limitação de taxa ou priorização):

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

Considerações Importantes

• Atuação: O uso intenso de regras L7 pode aumentar significativamente a carga na CPU do dispositivo, pois exige a inspeção do conteúdo dos pacotes. É importante monitorar o desempenho do roteador após implementar essas regras, especialmente em redes de alto tráfego.
• exactitud: As expressões regulares devem ser escritas com cuidado para garantir que apenas o tráfego desejado seja capturado. Uma expressão regular mal definida pode levar a falsos positivos ou negativos.
• Encriptação: hoje, grande parte do tráfego da Internet utiliza criptografia (como HTTPS), o que pode limitar a eficácia das regras baseadas na Camada 7 na identificação do conteúdo específico do tráfego. Para tráfego criptografado, considere métodos alternativos de identificação e controle, como bloqueio ou priorização com base em endereços IP, portas ou conexões SNI TLS.

A configuração da camada 7 no MikroTik RouterOS é uma ferramenta poderosa para gerenciamento avançado de tráfego, permitindo que administradores de rede implementem políticas de rede sofisticadas com base no conteúdo real dos pacotes de dados.