Chinaunix

标题: 如何用iptables 限制QQ 达到完美。 [打印本页]

作者: 小灰狼 时间: 2004-11-03 16:53
标题: 如何用iptables 限制QQ 达到完美。
本网络是通过一台linux＋iptables 透明代理上的网。下面是我封QQ 的iptables规则

网络ip 是192.168.100.1(linux代理服务器) 想让192.168.0.2-192.168.0.10 这几个ip 地址不受这些规则的限制

可以上QQ 那些11-254 的。不允许。请问各位老大。规则应该如何改一下。

现在载时我用
iptables -A FORWARD -p udp --dport 8000 -j DROP
iptables -A FORWARD -d 218.18.95.0/24 -j DROP
iptables -A FORWARD -d 218.17.209.0/24 -j DROP
iptables -A INPUT -s 218.18.95.0/24 -j DROP
iptables -A INPUT -s 218.17.209.0/24 -j DROP
iptables -A FORWARD -d 219.133.38.0/24 -j DROP
iptables -A INPUT -s 219.133.38.0/24 -j DROP

作者: 1261 时间: 2004-11-03 21:55
标题: 如何用iptables 限制QQ 达到完美。
别想了，可以通过代理上的

作者: platinum 时间: 2004-11-03 22:13
标题: 如何用iptables 限制QQ 达到完美。
楼主可以查看一下原来的旧贴
如果防火墙支持关键字过滤，那么有可能封掉
但是如果那样的话，所有包含关键字的信息都将被封掉

比如，你封锁带“QQ”的数据包，那么，即使你能封锁QQ，你通过google查QQ的资料，也一样无法正确传输，一样会被防火墙封掉

楼主有兴趣可以站内搜索“QQ”

作者: zujuhu 时间: 2004-11-03 22:45
标题: 如何用iptables 限制QQ 达到完美。
去看一下

作者: abc3w 时间: 2004-11-04 08:25
标题: 如何用iptables 限制QQ 达到完美。
关注中!

作者: 小灰狼 时间: 2004-11-04 08:57
标题: 如何用iptables 限制QQ 达到完美。
我感觉公司如何一旦有钱的话。还是买个硬件防火墙比较好。象我们这样小公司：（

platinum 我的目的是非QQ 上网。不是所谓非QQ关键字。

现在补步我已经解决。

虽然用代理上网我们没办法防。

但是。能用代理的。我想随工公司技术人员。别的人员。即使上了。也霸。

下面是我封允许一个ip 的规则。但不完美。。

有哪位。可以帮改一改。修一修。

iptables -A FORWARD -p udp -s 192.168.100.8 --dport 8000 -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.100.8 -d 218.18.95.0/24 -j  ACCEPT
iptables -A FORWARD -s 192.168.100.8 -d 218.17.209.0/24 -j ACCEPT
iptables -A INPUT -s 218.18.95.0/24 -d 192.168.100.8 -j ACCEPT
iptables -A INPUT -s 218.17.209.0/24 -d 192.168.100.8 -j ACCEPT
iptables -A FORWARD -s 192.168.100.8 -d 219.133.38.0/24 -j ACCEPT
iptables -A INPUT -s 219.133.38.0/24 -d 192.168.100.8  -j ACCEPT
iptables -A FORWARD -p udp  -s 0/0 --dport 8000 -j DROP
iptables -A FORWARD -d 218.18.95.0/24 -j DROP
iptables -A FORWARD -d 218.17.209.0/24 -j DROP
iptables -A INPUT -s 218.18.95.0/24 -j DROP
iptables -A INPUT -s 218.17.209.0/24 -j DROP
iptables -A FORWARD -d 219.133.38.0/24 -j DROP
iptables -A INPUT -s 219.133.38.0/24 -j DROP

作者: platinum 时间: 2004-11-04 09:49
标题: 如何用iptables 限制QQ 达到完美。
小灰狼，我以为我理解错了，刚才又仔细看了一下你的要求，我说的和你说的并不矛盾

你的意思是“非QQ上网”，我理解的是“封QQ”，但是我说的“封QQ”不是把所有含有“QQ”的数据包封住，而是打个比方，用特征码匹配的方法去封锁QQ协议（抓包找规律）

你的这些策略是不行的，关于这个，你可以看原来的封QQ讨论，我在那个贴子里列举过3种不同的上QQ方式（直连、SOCKET5代理、HTTP代理）

对于你的策略，可能对于直连和部分SOCKET代理（如果你上面的目的地址包含了某个/些SOCKET5代理地址）管用
但对于其他SOCKET代理（世界上代理服务器千千万万）和HTTP代理服务器（如果抓包，他的症状和浏览WEB完全一样），这样的你怎么封？

建议你看一下我上面提到过的那个贴子，那样你就明白了

作者: 78020281 时间: 2004-11-04 11:06
标题: 如何用iptables 限制QQ 达到完美。
以前用WIN平台试过。如果你非要封掉QQ。

直接封掉QQ服务器是最好的办法。
因为它不仅仅只有8000的数据包，还有HTTP的数据包。

作者: platinum 时间: 2004-11-04 11:49
标题: 如何用iptables 限制QQ 达到完美。

原帖由 "78020281" 发表：
以前用WIN平台试过。如果你非要封掉QQ。

直接封掉QQ服务器是最好的办法。

前些日子有黑客对TENCENT的服务器DDoS，效果还不错，呵呵
这个方法最直接

作者: huzhongliang790 时间: 2004-11-04 13:18
标题: 如何用iptables 限制QQ 达到完美。
好像有人在ms的平台上用isa 2004做到了分析QQ特征码来封QQ

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)