RouterOS L7协议

来自深圳捷联讯通科技有限公司
跳转至: 导航搜索
RouterOS V3.0 在防火墙中增加了一个新得功能——7 层协议过滤。针对一些应用程序如 skype、QQ、MSN、魔兽世界……网络程序做限制和过滤。
在防火墙 Layer7-protocol 目录下,你可以添加正则表达式字符串协议,定义他们的名称,并在防火墙 filter 目录下丢弃他们的数据。这个功能将
不会查看单独的数据包,会查看整个数据的相关连接,收集数据直到第 10 个数据包或者 2kb 数据,来执行第一次操作
下面介绍一下具体方法的使用:7 层协议过滤增加在 ip firewall 中 Layer7 Protocols,我们可以在下面的图中看到:
9-55.png
7 层协议通过 Regexp 脚本编写相应应用程序的过滤代码,Regexp 可以通过网上搜索相关资料了解。在这里我们已经提供了一些常用程序的 7
层协议脚本:
通过在 http://wiki.mikrotik.com 下载 L7 层协议过滤脚本。然后我们可以通过 FTP 上传或者直接拖放到 Files 对话框中。
9-56.png
之后我们在命令行(Terminal)中导入 7 层协议脚本,用 import 17-protos.rsc 命令来导入脚本
9-57.png
9-58.png
当系统提示 Script file loaded and executed successfully,说明脚本成功导入。
导入脚本后,我们可以在 Layer7 Protocols 中看到
9-59.png
导入后,我们就可以在 ip firewall 中通过 Layer7 Protocols 参数调用,并做相应的规则处理,下面是一个在防火墙得 FilterRules 里面调用 L7 脚本
9-60.png
在调用 http 的 L7 代码后,根据你的需要选择 action 的操作方式,其他的操作也同以上设置类似,如果需要对 IP 地址做控 制,可以设置 src-address 或者 dst-address 等参数。


L7 代码控制某聊天软件登录



某聊天软件登录通常默认采用 UDP/8000 端口,当 UDP/8000 端口被禁止,会选择 TCP 的 SSL,也就是 TCP 的 443 端口 连接,禁用该聊天软件必须两种方式都启用,所以网上大多只能找到一种该聊天软件的 L7 代码,配置后也无法完全禁止登录 的原因,下面是两种该聊天软件登录方式的 L7 代码(仅能命令行导入,不能直接复制到 winbox L7 代码区域)


17.5.png


添加 L7 代码后,应用到防火墙的 filter 过滤规则的 forward 链表
17.6.png


以上代码仅供测试和参考使用


作者:余松

上一页 下一页