Mam takie pytanie o filtr L7, bawiłem się nim dobrą chwilę i zastanawiałem czemu nie działa - nic kompletnie nie klasyfikuje, już miałem pisać posta o tym na forum a tu wraz sobie pomyślałem że jak nic tam jest napisane Outboud Direction ! No to myślę sobie, zobaczymy... Włączyłem klasyfikację L7 dla połączeń http (outbound oczywiście), podpiąłem do klasy E i puściłem zapytanie do mojego serwera WWW poprzez zewnętrzne proxy tpsa (żeby zapytanie szło z zewnątrz). I co się okazało ?? A to że pięknie połączenie zostało wykryte i obcięty mu transfer ! Świetnie że działa, tylko mam takie pytanie:
Na jakiego grzyba potrzbny mi filtr który klasyfikuje outbound direction ? Nie czuję potrzeby ograniczania szybkości ściągania ode mnie np. plików flash ludziom z internetu. Za to przydało by się by ograniczyć szybkość ściągania plików flash przez ludzi w mojej sieci, włączałem opcję "Layer 7 Examines Inbound Direction (Debug)" ale nic ona nie daje. Podobnie w Access Restrictions L7 chce klasyfikować ruch wychodzący dzięki czemu nic nie klasyfikuje. Jakbym chciał zablokować np nie wiem, pobieranie obrazków jpg (bo mam powiedzmy zły dzień i chcę kogoś powkurzać), to mogę najwyżej zablokować wysyłanie tych obrazków.
Może mi ktoś wyjaśnić do czego ten filtr służy ?
Dzięki !!
Pozdrawiam !
Ps. zaczęło się od tego, że chciałem tak ustawić transfery dla plików flash, aby bannery flashowe na www chodziły, ale już flash streaming video nie dało się oglądać
iptables -D FORWARD -m layer7 --l7proto httpvideo -j DROP
blokuje oglądanie flash streaming video z netu, a normalnych flashy nie (nie wszystkie flash filmy blokuje, niektórych nie łapie, działa np na youtube)
Tylko dlaczego to wszystko nie chodzi z GUI mimo że tam jest ???? #@%$#@%@!@@!!~!!@@ !!!!
Edytowany przez Slig dnia 16-10-2006 23:46
Ejj kurde ja sobie nie żartuję tylko próbuję zrozumieć jak to działa i liczę na to że ktoś może wie coś więcej na temat L7. Nie walnąłem postu że znalazłem błąd tylko że czegoś nie rozumiem i dlatego pytam... Ktoś kto poskładał takie oprogramowanie na pewno miał jakiś cel w tym że to tak zrobił, ja bym chciał tylko wiedzieć czemu.
Edytowany przez Slig dnia 17-10-2006 00:12
Some L7/IPP2P patterns are directional and may not work as you expect. An HTTP request from a browser, for example, is different from an HTTP response from a server. The patterns are not clear which is which, unfortunately. You also have to take into account that all classifications are performed in the outbound direction only.
Jesli znalazles cos nie tak lub masz konkretne pytania - to faktycznie powinienes skierowac je do Jon'a. To on tworzyl ten soft czesiowo od poczatku, wiec wie co i jak.
Polecam rowniez zarzucenie okiem w zrodelka bo to wiele tlumaczy ... czasami jak jtos byl mily i umiescil komntarze
P.S. mozesz sprawdzic jak Jon zapisuje access restrictions w pamieci tymczasowej. W pliku /tmp/qos masz kolejki i reguly QoS, jakos na razie specjalnie mi sie nei chcialo szukac, gdzie zapisuje (w jakim pliku) access restrictions. Mozesz poszukac tego pliku i porownywac z twoimi regulkami.
Edytowany przez robsonn dnia 17-10-2006 01:50
Napisałem do Jona o tym problemie. Przysłał odpowiedź i rozwiązanie:
Chodzi o to że L7 nie analizuje w tej chwili ruchu przychodzącego. Normalnie będzie zaznaczać się opcję "L7 examines inbound traffic...". Jon napisał że jest z nią jeszcze jakiś problem który trzeba rozwiązać. Natomiast można włączyć analizę ruchu przychodzącego przez L7 dla wybranych wzorców poleceniem firewalla:
To jest dla mojego interfejsu WAN - ppp0. I rzeczywiście po tym poleconku L7 analizuje pięknie ruch przychodzący zarówno w QoS jak i w Access Restrictions.
To się nazywa support ! Linksys jeszcze ma daleką drogę nie tylko w jakości softu
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Adooni
26-04-2024 14:41
jaki router RMerlin nie pociagne, tomato/ openwrt tak non hilink,
tamtosiamto
23-04-2024 12:35
modem bez smilocka?
man1
22-04-2024 23:27
Czy próbował ktoś uzywac karty voice (z nolimit GB) od tmobile w modemie /routerze? Da się jakoś to zrobić? Bo u mnie neta brak. E3372
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone