如何设置防火墙实现禁用QQ、MSN等现在要求禁止内网用户使用QQ、联众等聊天和网游软件的需求逐渐增多,不久前售后工程师就处理了一项此类业务。工程师在处理过程中发现了一些解决方法,现在进行一下总结,希望能供各位同事参考。下面就对这些应用来一一分析。
,_.|;?R5O)R(W
n;z-h)N..
一、 阻断QQ的连接
?\2o,|!LQ,o..
+YdCY#d.|`3J?T..
新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送udp包。
;QU9\~Q;|0dA..
`,NR
H
a Gw:D#y9f..
sz.tencent.com 61.144.238.145
5JrNn$^i1t2r..
sz2.tencent.com 61.144.238.146
J-i6nM"Os..
sz3.tencent.com 202.104.129.251
o?f3q7b?)W9K..
sz4.tencent.com 202.104.129.254
sHyL%g,N9K7Z..
sz5.tencent.com 61.141.194.203
^AWjt7k0cJq..
sz6.tencent.com 202.104.129.252
[ |w0qk5K
V)NG+s..
sz7.tencent.com 202.104.129.253
B^ By o0K*Y..
O NV
eT D..
在阻断8000端口的连接后,发现QQ还会通过udp的8001和tcp的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用,所以可以基于端口来作阻断规则。
k)Syw6?:nNm8n:Q,L..
'@"m:Z(q&LSF..
在用防火墙阻断以上端口的数据包后,发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则,会影响用户的正常上网,所以只能对服务器的ip地址来作规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器:
nX ~%Ye4Q ~?..
3h:n3\ y1lmR+g..
218.17.217.106
H7B@.v
a`..
219.133.40.95
5s.UT/I3h'n0b,QA..
219.133.40.97,
qJU8N9{5E!@X/Yb..
219.133.40.157,
+FPHa4dik
U..
219.133.40.177,
f/F!Y%JF..
219.133.40.73,
E SfL8~0e..
219.133.40.189
^ b@!fs?'j..
218.18.95.153
*o'i(}Ky0S#R..
218.17.209.23
([
Kh6dhrWP
sn..
202.104.129.253
S[$\ q8KTv w
Scv..
218.17.209.42
(sQ6R8eni..
]/@.F_W6R..
在针对这些IP作阻断规则后,QQ已基本无法登录。
q;I,W5Z:@6[ra||..
,dDkk9H..
在试验中还发现,QQ安装目录下的Config.db文件,其中记录了QQ服务器的地址,与我们上面找到的完全符合。
7]#X U$HJ'VOB$`X..
j/fK6]-VK#sZ~..
因此,在用防火墙阻止用户使用QQ上网时,除了阻止tcp和udp的8000、8001端口外,还需阻断与QQ服务器的连接。下面列举了在试验中找到的和在网上查到的QQ服务器IP:
:l V C.H2l1v..
'v?T2Pa"`..
61.141.194.203
L5_~MWGW..
61.144.238.145/146/149/155
s$G Q'B.n&B