Iptables+squid_auth (NAT+PROXY)封殺QQ，MSN，ICQ等

comxyz

在编写前,已确定了服务器只开启了8080,22的端口进行监听,其他的已关闭,所以IPTABLES没有添加封掉INPUT,OUTPUT,FORWARD所有进出封包的指令.
#Iptables FireWall,With Nat&Squid+Smb_auth For RedHat8 Linux...
# Eth1 Is Wan Device , Eth0 Is Lan Device
#----- Clear Iptables Data -----
#Pls Set /etc/sysctl.conf Start IpRouter Forward
echo 1 >; /proc/sys/net/ipv4/ip_forward
echo 1 >; /proc/sys/net/ipv4/tcp_syncookies
#ICMP ALL DROP
#echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 >; /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
iptables -t nat -F

#----- Start IpRouter & Load About Iptables Mode -----
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc

#----- Start Iptables Nat & Dnat -----
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.10

#----- Start Squid Proxy Nat -----
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 8080

#----- Icmp Ping Accept&Drop -----
iptables -A OUTPUT -p icmp -o eth1 -j ACCEPT
iptables -A INPUT -p icmp -i eth1 --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i eth1 --icmp-type echo-request -j DROP
#Internet Ping Localhost Ok
#iptables -A INPUT -p icmp -i eth1 -j  ACCEPT

#----- Drop Internet Proxy -----
iptables -A INPUT -p tcp --dport 8080 -i eth1 -j DROP

#----- Remote Gm SSH -----
#In
#iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 22 -o eth0 -j ACCEPT
#Out
#iptables -A INPUT -p tcp --sport 22 -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

#----- Drop Messages QQ,ICQ,MSN-----
#QQ_Nat
iptables -A FORWARD -p udp --dport 8000 -j DROP
iptables -A FORWARD -d 218.18.95.0/24 -j DROP
iptables -A FORWARD -d 218.17.209.0/24 -j DROP
#QQ_Proxy
iptables -A INPUT -s 218.18.95.0/24 -j DROP
iptables -A INPUT -s 218.17.209.0/24 -j DROP
#Icq_Nat_Proxy
iptables -t nat -I PREROUTING -p tcp --dport 5190 -j DROP
iptables -A INPUT -p tcp --sport 5190 -j DROP
#Msn_Nat
iptables -A FORWARD -p tcp --dport 1863 -j DROP
iptables -A FORWARD -d 207.46.110.0/24 -j DROP
iptables -A FORWARD -d 207.46.104.0/24 -j DROP
#Msn_Proxy
iptables -A INPUT -s 207.46.110.0/24 -j DROP
iptables -A INPUT -s 207.46.104.0/24 -j DROP

#----- Other Down Internet NAT DROP SQUID OK-----
#iptables -t nat -I PREROUTING -m mac --mac-source 00:06:5b:a5:7c:84 -p tcp --dport ! 8080 -j DROP

#----- IP PIM LINKING SECEDIT -----
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

以上設定有沒有問題呀？

szkingrose

封QQ要封所有能认证的上网服务器
MSN只要锁定对messenger.hotmail.com访问就可以了.
icq我没用过,应该锁定认证服务器IP或域名就行.

comxyz

顶！经过测试，完全没问题呀。供大家参考

greatgreen

这样的话，用代理也不能使用qq,msn,icq咯？

comxyz

YES .

jarson

我用樓主封qq失敗暸，最后用以下代碼成功暸！

iptables -t nat -A POSTROUTING -p udp --dport 8000 -j MASQUERADE
iptables -A FORWARD -p udp --dport 8000 -j DROP
iptables -A FORWARD -d tcpconn.tencent.com -j DROP
iptables -A FORWARD -d tcpconn2.tencent.com -j DROP
iptables -A FORWARD -d tcpconn3.tencent.com -j DROP
iptables -A FORWARD -d tcpconn4.tencent.com -j DROP
iptables -A FORWARD -d 218.17.209.23 -j DROP
iptables -A FORWARD -d 218.18.95.153 -j DROP
iptables -A FORWARD -d tcpconn.tencent.com -j DROP
iptables -A FORWARD -d tcpconn2.tencent.com -j DROP
iptables -A FORWARD -d tcpconn3.tencent.com -j DROP
iptables -A FORWARD -d tcpconn4.tencent.com -j DROP
iptables -A FORWARD -d 218.17.209.23 -j DROP
iptables -A FORWARD -d 218.18.95.153 -j DROP
iptables -A FORWARD -d 218.18.95.135 -j DROP
iptables -A FORWARD -d 218.18.95.135 -j DROP