点滴

IT博客 首页 新随笔 联系 聚合 管理
  103 Posts :: 81 Stories :: 50 Comments :: 0 Trackbacks
路由器如何限制内网电脑使用QQ(转至TP-Link官方网站)

    QQ 客户端登录的时候使用的外网端口号有UDP端口号8000,TCP端口号80和443三个端口,一般来说不可能直接把80端口也屏蔽掉,除非您不想浏览网页。所以我们的处理思路中是使用域名过滤、IP过滤这两种技术结合起来。考虑到屏蔽8000和443端口对一般用户影响不大,我们就直接把它们屏蔽掉了,对于使用80端口的QQ服务器,只能通过在广域中地址栏中过滤QQ服务器IP地址的方法来屏蔽。

    这次我们测试的QQ版本有2004、2005两个版本,由于目前腾迅公司已经不允许2003版本QQ客户端的登录,所以实验中没有使用它。

    通过对QQ连接信息的查看,目前QQ能够登录的服务器的域名信息如下:

UDP登录服务器:

  • sz.tencent.com
  • sz2.tencent.com
  • sz3.tencent.com
  • sz4.tencent.com
  • sz5.tencent.com
  • sz6.tencent.com
  • sz7.tencent.com
  • sz8.tencent.com
  • sz9.tencent.com

TCP登录服务器

  • tcpconn.tencent.com
  • tcpconn2.tencent.com
  • tcpconn3.tencent.com
  • tcpconn4.tencent.com
  • tcpconn5.tencent.com
  • tcpconn6.tencent.com

    所以我们在路由器作了如下限制:

图1防火墙设置

    确认防火墙、IP过滤、域名过滤都开启着。我们再看域名过滤的具体设置:

图2域名过滤设置

    通过上面的设置我们可以把所有和QQ有关的域名请求都予以过滤。

    我们再看看IP过滤的设置:

图3IP地址过滤设置

    上图3是“IP地址过滤”页面的抓图,前面两条先屏蔽了8000和443两个端口,剩下的80端口的服务器只能通过过滤服务器IP地址的方法屏蔽掉。下面的三条IP地址过滤规则的作用就是将发往219.133.38.29、219.133.38.30、219.133.38.232这三个 QQ服务器的数据包禁止掉了!那么这三个服务器的IP地址是怎样得来的呢?使用80端口的QQ服务器有多少呢?它们的IP地址又都是多少呢?后面会介绍如何查看QQ登录时使用的服务器IP地址。当我们发现了新的可以登录的服务器IP地址,需要自己再继续添加过滤条目。

    下面说明一下上图中这三个QQ服务器的地址是怎么得来的?

    我们按照图2中所示的方法使用“域名过滤”封锁掉一部分QQ服务器,接着如图3所示,在“IP地址过滤”页面最上面的两条规则中“禁用 443和8000端口”后,发现内网电脑还是可以登录QQ的,那说明连接的服务器使用的是80端口提供服务,网络管理员可以在QQ2005的“登录设置” 页面查看当前客户端登录的QQ服务器的IP地址,过程就这么简单。

    试验中找到的三个服务器的IP地址(219.133.38.29、219.133.38.30、219.133.38.232)都被封锁了,但是QQ2005又一次成功登录,于是继续打开QQ2005的“登录设置”页面如下图:

图4QQ登录设置界面

    从图4中可以看到,QQ2005又连接了新的服务器,IP地址是219.133.49.5 ,连接的是80端口,没有关系,把这个新发现的服务器IP地址也加入到“IP地址过滤”中去就可以了。就这样找到一个新的服务器IP地址,添加到“IP地址过滤”中把它禁止掉!

    有些用户会担心,“IP地址过滤”规则的可设定条目数是有限的,可设定条目数不够怎么办?不用担心,因为我司的宽带路由器“IP地址过滤” 条目在设置的时候,“局域网IP地址/广域网IP地址”这两个参数都是可以输入一段IP地址的,比如我们上面发现的四个服务器IP地址可以合并为下面的两个条目:

219.133.38.0-219.133.38.255

219.133.49.0-219.133.49.255

    或者还可以把上面的两段地址继续合并为下面更大的一段:

219.133.38.0-219.133.49.255

    通过这样设置IP地址段,足够将所有的使用80端口的QQ服务器IP地址囊括!需要做的只是下面的操作循环:使用QQ2005成功登录——>发现新的服务器IP地址——>设定“IP地址过滤”规则禁止,重复直到QQ客户端再也不能连接到服务器。

上面的操作已经可以屏蔽 QQ 登录,如果您发现在这样操作后出现了一些异常情况,请继续阅读下面的内容:

    当我们合并了QQ服务器IP地址并成段过滤掉以后,会不会把一些正常的不是QQ服务器的IP地址也封锁掉了?这个不用太担心,我们屏蔽的地址段和互联网可用的地址段相比来说,只属于非常小的一段,发生这种情况的可能性极小,如果万一真的发生了“需要连接的目的IP地址也被封锁”这种情况,可以简单把我们上面限制的地址段拆分成多段,不包括我们需要访问的IP地址就可以了。

    我们在上面的指导中默认是把所有的443端口的数据包都禁止掉了,也就是不论连接那个服务器,只要目的端口是 443端口一概禁止。如果您需要一些443端口的访问,可以在屏蔽443端口条目的“广域网IP地址”这一栏,加入IP地址段限制,如 219.133.38.0-219.133.49.255试试,或者采用分段的方法,将自己需要连接的那个IP地址不包括即可。

    补充:因为MSN运行过程也会使用到443端口,所以对443端口的封锁会导致MSN不能正常使用,如果对内网的上网权限QQ和MSN要区别开来的话,在上面的配置过程当中可以不封锁443端口,同样可以对QQ有效封锁。
上面的配置是结合“端口”、“域名”和“服务器IP”综合封锁,还有一种简单的思路就是“将发往QQ服务器IP的数据包全部封锁”,这样同样可以封锁QQ ,配置思路比较简单。

如果您还有什么问题,请通过如下联系方式联系我们:
Email:fae@tp-link.com.cn
电话:0755-26617951 / 26502015

posted on 2006-11-29 20:20 天空 阅读(1480) 评论(0)  编辑 收藏 引用 所属分类: TP-Link的世界
只有注册用户登录后才能发表评论。