论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2004-11-03 16:53 |只看该作者 |倒序浏览

本网络是通过一台linux＋iptables 透明代理上的网。下面是我封QQ 的iptables规则

网络ip 是192.168.100.1(linux代理服务器) 想让192.168.0.2-192.168.0.10 这几个ip 地址不受这些规则的限制

可以上QQ 那些11-254 的。不允许。请问各位老大。规则应该如何改一下。

现在载时我用
iptables -A FORWARD -p udp --dport 8000 -j DROP
iptables -A FORWARD -d 218.18.95.0/24 -j DROP
iptables -A FORWARD -d 218.17.209.0/24 -j DROP
iptables -A INPUT -s 218.18.95.0/24 -j DROP
iptables -A INPUT -s 218.17.209.0/24 -j DROP
iptables -A FORWARD -d 219.133.38.0/24 -j DROP
iptables -A INPUT -s 219.133.38.0/24 -j DROP

文库|博客

1261

稍有积蓄

论坛徽章:: 3

2楼 [报告]

发表于 2004-11-03 21:55 |只看该作者

如何用iptables 限制QQ 达到完美。

别想了，可以通过代理上的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

3楼 [报告]

发表于 2004-11-03 22:13 |只看该作者

如何用iptables 限制QQ 达到完美。

楼主可以查看一下原来的旧贴
如果防火墙支持关键字过滤，那么有可能封掉
但是如果那样的话，所有包含关键字的信息都将被封掉

比如，你封锁带“QQ”的数据包，那么，即使你能封锁QQ，你通过google查QQ的资料，也一样无法正确传输，一样会被防火墙封掉

楼主有兴趣可以站内搜索“QQ”

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zujuhu

丰衣足食

论坛徽章:: 0

4楼 [报告]

发表于 2004-11-03 22:45 |只看该作者

如何用iptables 限制QQ 达到完美。

去看一下

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

abc3w

家境小康

论坛徽章:: 0

5楼 [报告]

发表于 2004-11-04 08:25 |只看该作者

如何用iptables 限制QQ 达到完美。

关注中!

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

小灰狼

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2004-11-04 08:57 |只看该作者

如何用iptables 限制QQ 达到完美。

我感觉公司如何一旦有钱的话。还是买个硬件防火墙比较好。象我们这样小公司：（

platinum 我的目的是非QQ 上网。不是所谓非QQ关键字。

现在补步我已经解决。

虽然用代理上网我们没办法防。

但是。能用代理的。我想随工公司技术人员。别的人员。即使上了。也霸。

下面是我封允许一个ip 的规则。但不完美。。

有哪位。可以帮改一改。修一修。

iptables -A FORWARD -p udp -s 192.168.100.8 --dport 8000 -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.100.8 -d 218.18.95.0/24 -j  ACCEPT
iptables -A FORWARD -s 192.168.100.8 -d 218.17.209.0/24 -j ACCEPT
iptables -A INPUT -s 218.18.95.0/24 -d 192.168.100.8 -j ACCEPT
iptables -A INPUT -s 218.17.209.0/24 -d 192.168.100.8 -j ACCEPT
iptables -A FORWARD -s 192.168.100.8 -d 219.133.38.0/24 -j ACCEPT
iptables -A INPUT -s 219.133.38.0/24 -d 192.168.100.8  -j ACCEPT
iptables -A FORWARD -p udp  -s 0/0 --dport 8000 -j DROP
iptables -A FORWARD -d 218.18.95.0/24 -j DROP
iptables -A FORWARD -d 218.17.209.0/24 -j DROP
iptables -A INPUT -s 218.18.95.0/24 -j DROP
iptables -A INPUT -s 218.17.209.0/24 -j DROP
iptables -A FORWARD -d 219.133.38.0/24 -j DROP
iptables -A INPUT -s 219.133.38.0/24 -j DROP

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

7楼 [报告]

发表于 2004-11-04 09:49 |只看该作者

如何用iptables 限制QQ 达到完美。

小灰狼，我以为我理解错了，刚才又仔细看了一下你的要求，我说的和你说的并不矛盾

你的意思是“非QQ上网”，我理解的是“封QQ”，但是我说的“封QQ”不是把所有含有“QQ”的数据包封住，而是打个比方，用特征码匹配的方法去封锁QQ协议（抓包找规律）

你的这些策略是不行的，关于这个，你可以看原来的封QQ讨论，我在那个贴子里列举过3种不同的上QQ方式（直连、SOCKET5代理、HTTP代理）

对于你的策略，可能对于直连和部分SOCKET代理（如果你上面的目的地址包含了某个/些SOCKET5代理地址）管用
但对于其他SOCKET代理（世界上代理服务器千千万万）和HTTP代理服务器（如果抓包，他的症状和浏览WEB完全一样），这样的你怎么封？

建议你看一下我上面提到过的那个贴子，那样你就明白了