QQ 客户端登录的时候使用的外网端口号有UDP端口号8000,TCP端口号80和443三个端口,一般来说不可能直接把80端口也屏蔽掉,除非您不想浏览网页。所以我们的处理思路中是使用域名过滤、IP过滤这两种技术结合起来。考虑到屏蔽8000和443端口对一般用户影响不大,我们就直接把它们屏蔽掉了,对于使用80端口的QQ服务器,只能通过在广域中地址栏中过滤QQ服务器IP地址的方法来屏蔽。
这次我们测试的QQ版本有2004、2005两个版本,由于目前腾迅公司已经不允许2003版本QQ客户端的登录,所以实验中没有使用它。
通过对QQ连接信息的查看,目前QQ能够登录的服务器的域名信息如下:
UDP登录服务器:
- sz.tencent.com
- sz2.tencent.com
- sz3.tencent.com
- sz4.tencent.com
- sz5.tencent.com
- sz6.tencent.com
- sz7.tencent.com
- sz8.tencent.com
- sz9.tencent.com
TCP登录服务器
- tcpconn.tencent.com
- tcpconn2.tencent.com
- tcpconn3.tencent.com
- tcpconn4.tencent.com
- tcpconn5.tencent.com
- tcpconn6.tencent.com
所以我们在路由器作了如下限制:
图1防火墙设置
确认防火墙、IP过滤、域名过滤都开启着。我们再看域名过滤的具体设置:
图2域名过滤设置
通过上面的设置我们可以把所有和QQ有关的域名请求都予以过滤。
我们再看看IP过滤的设置:
图3IP地址过滤设置
上图3是“IP地址过滤”页面的抓图,前面两条先屏蔽了8000和443两个端口,剩下的80端口的服务器只能通过过滤服务器IP地址的方法屏蔽掉。下面的三条IP地址过滤规则的作用就是将发往219.133.38.29、219.133.38.30、219.133.38.232这三个 QQ服务器的数据包禁止掉了!那么这三个服务器的IP地址是怎样得来的呢?使用80端口的QQ服务器有多少呢?它们的IP地址又都是多少呢?后面会介绍如何查看QQ登录时使用的服务器IP地址。当我们发现了新的可以登录的服务器IP地址,需要自己再继续添加过滤条目。
下面说明一下上图中这三个QQ服务器的地址是怎么得来的?
我们按照图2中所示的方法使用“域名过滤”封锁掉一部分QQ服务器,接着如图3所示,在“IP地址过滤”页面最上面的两条规则中“禁用 443和8000端口”后,发现内网电脑还是可以登录QQ的,那说明连接的服务器使用的是80端口提供服务,网络管理员可以在QQ2005的“登录设置” 页面查看当前客户端登录的QQ服务器的IP地址,过程就这么简单。
试验中找到的三个服务器的IP地址(219.133.38.29、219.133.38.30、219.133.38.232)都被封锁了,但是QQ2005又一次成功登录,于是继续打开QQ2005的“登录设置”页面如下图:
图4QQ登录设置界面
从图4中可以看到,QQ2005又连接了新的服务器,IP地址是219.133.49.5 ,连接的是80端口,没有关系,把这个新发现的服务器IP地址也加入到“IP地址过滤”中去就可以了。就这样找到一个新的服务器IP地址,添加到“IP地址过滤”中把它禁止掉!
有些用户会担心,“IP地址过滤”规则的可设定条目数是有限的,可设定条目数不够怎么办?不用担心,因为我司的宽带路由器“IP地址过滤” 条目在设置的时候,“局域网IP地址/广域网IP地址”这两个参数都是可以输入一段IP地址的,比如我们上面发现的四个服务器IP地址可以合并为下面的两个条目:
219.133.38.0-219.133.38.255
219.133.49.0-219.133.49.255
或者还可以把上面的两段地址继续合并为下面更大的一段:
219.133.38.0-219.133.49.255
通过这样设置IP地址段,足够将所有的使用80端口的QQ服务器IP地址囊括!需要做的只是下面的操作循环:使用QQ2005成功登录——>发现新的服务器IP地址——>设定“IP地址过滤”规则禁止,重复直到QQ客户端再也不能连接到服务器。
上面的操作已经可以屏蔽
QQ
登录,如果您发现在这样操作后出现了一些异常情况,请继续阅读下面的内容:
当我们合并了QQ服务器IP地址并成段过滤掉以后,会不会把一些正常的不是QQ服务器的IP地址也封锁掉了?这个不用太担心,我们屏蔽的地址段和互联网可用的地址段相比来说,只属于非常小的一段,发生这种情况的可能性极小,如果万一真的发生了“需要连接的目的IP地址也被封锁”这种情况,可以简单把我们上面限制的地址段拆分成多段,不包括我们需要访问的IP地址就可以了。
我们在上面的指导中默认是把所有的443端口的数据包都禁止掉了,也就是不论连接那个服务器,只要目的端口是 443端口一概禁止。如果您需要一些443端口的访问,可以在屏蔽443端口条目的“广域网IP地址”这一栏,加入IP地址段限制,如 219.133.38.0-219.133.49.255试试,或者采用分段的方法,将自己需要连接的那个IP地址不包括即可。
补充:因为MSN运行过程也会使用到443端口,所以对443端口的封锁会导致MSN不能正常使用,如果对内网的上网权限QQ和MSN要区别开来的话,在上面的配置过程当中可以不封锁443端口,同样可以对QQ有效封锁。 上面的配置是结合“端口”、“域名”和“服务器IP”综合封锁,还有一种简单的思路就是“将发往QQ服务器IP的数据包全部封锁”,这样同样可以封锁QQ ,配置思路比较简单。
如果您还有什么问题,请通过如下联系方式联系我们: Email:fae@tp-link.com.cn 电话:0755-26617951 / 26502015
|