如何設置防火牆實現禁用QQ、MSN等

peter 註冊時間: 2002-10-16 文章: 2414 發表於: 星期四 九月 08, 2005 8:38 am    文章主題: 如何設置防火牆實現禁用QQ、MSN等 如何設置防火牆實現禁用QQ、MSN等 作者：技術天地 發文時間：2005.09.07 　　現在要求禁止內網用戶使用QQ、聯眾等聊天和網遊軟體的需求逐漸增多，不久前售後工程師就處理了一項此類業務。工程師在處理過程中發現了一些解決方法，現在進行一下總結，希望能供各位同事參考。下面就對這些應用來一一分析。 　　一、 阻斷QQ的連接 　　新版QQ不僅僅通過UDP方式登錄伺服器，還能夠以TCP方式登錄。QQ在連接時首先向以下七個伺服器的8000埠發送udp包。 　　sz.tencent.com 61.144.238.145 　　sz2.tencent.com 61.144.238.146 　　sz3.tencent.com 202.104.129.251 　　sz4.tencent.com 202.104.129.254 　　sz5.tencent.com 61.141.194.203 　　sz6.tencent.com 202.104.129.252 　　sz7.tencent.com 202.104.129.253 　　在阻斷8000埠的連接後，發現QQ還會通過udp的8001和tcp的8000、8001埠進行連接。鑒於這些埠目前只有QQ使用，所以可以基於埠來作阻斷規則。 　　在用防火牆阻斷以上埠的資料包後，發現QQ還會通過tcp的80和443埠進行連接。如果針對這兩個埠作阻斷規則，會影響用戶的正常上網，所以只能對伺服器的ip位址來作規則。通過試驗發現了以下可通過80和443埠建立連接的QQ伺服器： 　　218.17.217.106 　　219.133.40.95 　　219.133.40.97, 　　219.133.40.157, 　　219.133.40.177, 　　219.133.40.73, 　　219.133.40.189 　　218.18.95.153 　　218.17.209.23 　　202.104.129.253 　　218.17.209.42 　　在針對這些IP作阻斷規則後，QQ已基本無法登錄。 　　在試驗中還發現，QQ安裝目錄下的Config.db檔，其中記錄了QQ伺服器的位址，與我們上面找到的完全符合。 　　因此，在用防火牆阻止用戶使用QQ上網時，除了阻止tcp和udp的8000、8001埠外，還需阻斷與QQ伺服器的連接。下面列舉了在試驗中找到的和在網上查到的QQ伺服器IP： 　　61.141.194.203 　　61.144.238.145/146/149/155 　　61.172.249.135 　　65.54.229.253 　　202.96.170.164 　　202.104.129.151/251/252/253/254 　　211.157.38.38 　　218.17.209.23/42 　　218.17.217.106 　　218.18.95.153/165 　　219.133.40. 21/73/89/90/92/95/97/157/177/189（這個網段的伺服器位址較多，可以考慮阻斷整個網段） 　　雖然以上方法可以起到阻斷QQ連接的作用，但如果騰訊增加新的QQ伺服器，QQ也還是可以登錄的。另外，用第三方的代理軟體如NEC E-BORDER等，支援Anonymous的Socks5代理還是可能繞過去，登陸使用QQ。 　　二、 阻斷MSN的連接 　　MSN的連接在除使用常規的1863埠外，還會使用7001和80埠，因為這兩個埠涉及到其他網路服務的應用，所以也只能採用阻斷QQ連接的方法，通過阻斷與MSN伺服器的連接，來達到用戶要求。 　　以下列舉了在試驗中找到的伺服器IP： 64.4.12.200/201 　　65.54.194.117 　　207.46.68.23 　　207.46.104.20 　　207.46.107.14/125 　　207.46.110.27/28/254 　　經查詢，這些伺服器IP都是北美地區的。 　　同樣，如微軟添加新的MSN伺服器或者用戶使用代理，還是可以登錄MSN。 　　三、 阻斷聯眾的連接 　　阻斷聯眾的連接相對來說就比較容易啦。在用戶端連接伺服器時，首先會與伺服器的2000埠建立連接（61.55.138.219：2000）。在連接建立後，會用到伺服器的1007、2001、2002、3015埠。 　　在試驗中，只阻斷了2000埠的資料包，用戶端就已經無法連接伺服器了。 　　四、 阻斷可樂吧的連接 　　可樂吧用戶端在連接伺服器時，首先要打開可樂吧的主頁（www.kele8.com），再通過主頁進入遊戲大廳，所有只要定義一個URL規則，過濾位址為“*kele8*”即可。 http://tech./art/1099/20050907/327343_1.html 回頂端 art_lin 註冊時間: 2005-09-09 文章: 7 發表於: 星期三 九月 14, 2005 11:30 pm    文章主題: QQ 比較難擋 且版本不同 又有所差異 上面擋server的方式並不是很理想 不如去看他login的特徵 MSN 就比較單純 我所看到的 MSN 主要會用到的port 應該是1863 和443 80 主要是提供一些旁邊小圖示的顯示 雖然port 80被擋掉 還是可以login 只是旁邊小圖示會變成"?" 大家可試試 所以要擋MSN 只要擋1863 或443 不過他有提供HTTP proxy socks 的功能 不過你只要過濾像 MSNMSGR (MSN其中的特徵)可以sniffer packet 一下就知道 一樣可以擋掉 回頂端 largelove 註冊時間: 2005-09-25 文章: 3 發表於: 星期日 九月 25, 2005 5:00 am    文章主題: 谈到如何防止qq，msn我很不爽。 我原来利用路由器来封端口，开了80，53，21，25，110然后其他全部 block，想不到竟然不能上MSN，然后我又开启1863端口，还是不能上。 当时我并没有考虑到443会影响msn，无奈之下，我只能试。打开0-1000，可以上，0-500，也可以。0-400，不能了，此时我便知道端口应该在400-500之间，最后开443。 到现在我还是不明白1863开了为什么不能上msn。 回頂端 reinhard0701 註冊時間: 2005-07-12 文章: 1 發表於: 星期五 九月 30, 2005 2:16 pm    文章主題: 捉一下封包就知道MSN用了哪些連接埠了 關於TCP 443的連線部分就在上圖，那是做帳號驗證用的 回頂端