Есть ли способ сделать способ выполнения фильтрации уровня 7 в Linux?
Некоторые DHCP-серверы отправляют имена хостов. Клиенты могут принимать или игнорировать такие предложения.
Взгляните на свой локальный файл /etc/dhcp/dhclient.conf , чтобы проверить свою текущую конфигурацию. Существует список объектов
запроса , одна из которых, вероятно, будет читать имя-хоста . Для получения дополнительной информации посетите страницу руководства dhclient.conf .
Вы, должно быть, говорите о (бывшем )проекте Классификатор пакетов прикладного уровня для Linux , который был реализован в виде исправлений для ядер 2.4 и 2.6.
Основная проблема с этим проектом заключается в том, что технология, которую он предлагал контролировать, быстро превзошла полезность и эффективность реализации.
У участников проекта, тоже не было времени (и денег )для дальнейшего вложения в опережение некоторых достижений технологии, насколько я помню, а потом продали права на реализацию, которая убила за хороший и без того проблемный проект.
Проблемы, с которыми этот проект/технология сталкивались на протяжении многих лет, не имеют особого порядка:
- адаптация патчей к версиям ядра 3.x/4.x;
- нехватка вычислительной мощности -в некоторых странах, в настоящее время скорость даже внутреннего гигабитного широкополосного доступа потребует ASIC для эффективного формирования трафика уровня 7 -;
- Bittorrent начал использовать сильное запутывание;
- HTTPS начал активно использоваться для инкапсуляции нескольких протоколов и/или во избежание обнаружения;
- одноранговые протоколы с -по -перестали использовать фиксированные порты и начали пытаться получить доступ через любой открытый/разрешенный порт;
- повсеместное распространение VoIP и видео в режиме реального времени, что делает трафик очень чувствительным даже к небольшим временным задержкам:
- широкое использование VPN-соединений.
После этого были вложены значительные средства в исследования и разработки, направленные на создание профессиональных продуктов для формирования трафика.
Уровень техники десять лет назад уже включал в себя специальные ASIC и (интенсивное использование )эвристик для обнаружения зашифрованного/обфусцированного трафика.
В настоящее время, помимо более чем десятилетнего опыта работы с передовыми эвристиками, с развитием глобального широкополосного доступа, поставщиков -формирования трафика (и межсетевых экранов ), также используют одноранговые -2 -одноранговый обмен в реальном -времени глобальными данными для повышения эффективности их решений.
Они сочетают передовую эвристику с профилированием/обменом данными в режиме реального времени из тысяч мест по всему миру.
Было бы очень сложно создать продукт с открытым исходным кодом, который будет работать так же эффективно, как Allot NetEnforcer.
Используя решения с открытым исходным кодом, в целях -работоспособности пропускной способности инфраструктуры, уже не так часто пытаются формировать трафик по типу/природе трафика, который использует IP-адрес в сети. уровень .
В настоящее время для общего управления трафиком и защиты пропускной способности инфраструктуры -обычной стратегией является (помимо брандмауэра ), без использования усовершенствованного оборудования для формирования трафика, выделение небольшой части пропускной способности для каждой Айпи адрес.