Configurar dray tek
Como todos sabemos, QQ tiene muchos servidores y puertos. Por eso es muy problemático prohibirlo. Sin embargo, debido a algunas razones especiales, debe prohibirse. A continuación se muestran algunas formas más sencillas de prohibirlo. Para referencia del usuario. Yo personalmente uso el 2505 NR y el 2605 de NETCORE; lo mismo se aplica a otros enrutadores. Descubrirá que prohibir QQ no le causará dolor de cabeza.
1. De hecho, QQ utiliza principalmente el puerto TCP/UDP 8000 al iniciar sesión. Por lo tanto, primero prohibimos que todas las máquinas de la intranet accedan al puerto 8000 del host remoto. En los enrutadores de alta gama de NETCORE, podemos agregar reglas al control de acceso a Internet. Primero, elija que sean válidas para todos los hosts internos (el segundo paso se puede manejar según las circunstancias, por ejemplo, puede elegir que sean válidas para algunos hosts). o elegir que sea válido para un determinado host, etc. espera). Seleccione Válido para todos los hosts internos, especifique válido para las siguientes aplicaciones, especifique el protocolo TCP/UDP, especifique el puerto 8000 y seleccione Deshabilitar el acceso a Internet. De esta forma, todos los servidores que utilicen el puerto 8000 para iniciar sesión no podrán iniciar sesión.
2. Algunos otros servidores utilizan los puertos 80 y 443 del protocolo TCP para iniciar sesión. Para estos servidores, se utilizarán nombres de dominio para extraer sus direcciones IP. Los nombres de dominio contados incluyen: tcpconn1.tencent.com, tcpconn2.tencent.com, tcpconn3.tencent.com, tcpconn4.tencent.com, tencent.com, tencent.com.cn. Entonces es válido para todas las aplicaciones de estos servidores o se especifica que sea válido para los puertos TCP/UDP 80 y 443, y el acceso a Internet está prohibido.
3. No podemos controlar completamente QQ en este momento, pero para la mayoría de ellos, utilizamos el software QQ para iniciar sesión y ver desde qué servidores iniciarán sesión y desde qué puerto iniciarán sesión. Limite estos servidores individualmente.
4. De esta forma, se completa todo el proceso de prohibición de QQ.
5. A continuación se enumeran las direcciones IP de servidor más utilizadas de MSN y QQ.
Dirección del servidor msn
65.54.225.254 65.54.226.254 65.54.228.244 65.54.228.253 65.54.229.248
65.54.229.253 65.54.225.241 65. 4.226.247 p>
dirección del servidor qq
219.133.40.15 218.17.209.23 202.104.129.252 218.18.95.153
202.104.129.251 61.144.238.145 202.104.129.25 3 61.141.194.203
202.104.129.254 218.18.95.165 61.144.238.146 219.133.40.91
211.248.99.252 218.17.217.66 61.144.238.156 219.133.40 .8 9
219.133.40.115 219.133. 40.90 219.133.40.113 219.133.40.114
210.22.12.126 61.141.194.223 61.172.249.135 202.104.128.233
202.96.170.164 .17.217.103 218.66 59.233 61.141.194.207
202.96.170.163 202.96.170.166 202.96.140.18 202.96.140.119
202.96.140.8 202.96.140.12 218.18.95.221 219.133.45.15
61.1 41.194.224 218.17.209.42 61.141.194.227 218.18.95.171 p>
219.133.49.6 219.133.49.73 219.133.48.56 219.133.40.215
219.133.38.132 219.133.38.30 219.133.40.177 219.133.38.23 2
219.133 .38.29 219.133.48.88 219.133 .38.31 219.133.60.34
219.133.49.211
(Los servidores se agregarán, espero que los amigos lo descubran por sí mismos. Mi ruta actualmente prohíbe tantos También se deben agregar IP y algunos nombres de dominio)
sz.tencent.com: 8000
sz2.tencent.com: 8000
sz3. tencent.com: 8000
sz4.tencent.com: 8000
sz5.tencent.com: 8000
sz6.tencent.com: 8000
tamaño 7.diez
cent.com: 8000
tcpconn.tencent.com: 80
tcpconn2.tencent.com: 80
tcpconn3.tencent.com: 80 p>
p>
tcpconn4.tencent.com: 80
tcpconn2.tencent.com: 80
tcpconn3.tencent.com: 80
tcpconn4.tencent .com: 80
/
: 443/
Los servidores QQ se dividen en tres categorías:
1 Puerto UDP 8000 clase 13 Tres: La velocidad más rápida y la mayor cantidad de servidores.
QQ enviará paquetes de datos UDP a estos 11 servidores cuando se conecte, y el que tenga la velocidad de respuesta más rápida será seleccionado como servidor de conexión.
Los nombres de estos seis servidores comienzan con SZ, el sufijo de dominio es tencent.com y el nombre de dominio y la IP correspondientes son
sz sz2: 61.144.238.145 61.144 .238.146 61.144.238.156
p>sz3 sz4 sz6 sz7: 202.104.129.251 202.104.129.254 202.104.129.252
202.104.129.253
sz 5: 61.141.194.203 202. 96.170.166 218.18.95.221 219.133.45.15
61.141.194.224 202.96.170.164
2. 4 servidores de conexión TCP HTTP, utilizando puertos HTTP 80 y 443 para conectarse
Todos los nombres de estos 4 servidores comienzan con Comienza con tcpconn, el sufijo de dominio es tencent.com y el nombre de dominio y la IP corresponden a
tcpconn tcpconn3 218.17.209.23 p>
tcpconn2 tcpconn4 218.18.95.153 61.141.194.227 218.18.95.171
3. El miembro VIP inicia sesión en el servidor y utiliza una conexión segura HTTP 443
IP del servidor 218.17.209.42.
Si conoce las direcciones de estos servidores, estará bien si todos están bloqueados. Nadie puede acceder a QQ (el software del agente se analizará por separado). ser utilizado, entonces se ha agregado un nuevo servidor! ¡Mata a todos los que veas!
PQ: El puerto predeterminado actual es 4000, que transmite UDP. Sin embargo, 1080, 8000, 8001 y 28120 también se utilizan para la transmisión UDP. No importa, 3721 está completamente prohibido.
☆ Si usa software proxy
Bloquear un proxy es mucho menos complicado que bloquear QQ. Por ejemplo, alguien de la empresa 'Tongtongtong' lo ha logrado. Usé QQ. No puedo evitarlo. Después de instalarlo, descubrí que Tongtongtong solo tiene un servidor gratuito y varios otros requieren dinero. Supongo que no mucha gente está dispuesta a gastar dinero para comprar este pequeño software, ¿verdad? la IP del servidor en el enrutamiento.
Al final, no pude acceder a QQ a pesar de que usé el proxy 'TTT'. Creo que otros software de proxy son similares. Oigan, espero que puedan corregirme... 440) {this.resized=true; this.style.width=440;} "gt;
Si el sistema local no se ha reinstalado y utilizó QQ para iniciar sesión en esta máquina en el pasado, y si aparece un nuevo servidor QQ, Por lo general, QQ seguirá sin poder iniciar sesión. Creo que QQ siempre encontrará el servidor que sea más rápido y que haya iniciado sesión en el pasado (es realmente difícil explicar esto con claridad) ...440){this.resized. =true;this.style.width=440;}" gt;
Si un amigo que pasa aún no puede prohibir QQ después de comparar los métodos anteriores, puedes dejarme un mensaje y haré todo lo posible para ayudarte. ...440){this.resized=true;this.style.width =440;}"gt;
☆ Suplemento a algunos amigos que preguntaron cómo desactivar MSN
El puerto utilizado por el cliente de MSN para iniciar sesión en el servicio es 1863 en el protocolo TCP. Si este puerto está bloqueado, le resultará difícil iniciar sesión en MSN. Hay varios puertos a los que debe prestar atención. los puertos utilizados por MSN para compartir archivos son el puerto TCP 6891 y 6890, 80, 443, y el video y la voz usan el puerto UDP 13324 y 13325, 3544-3579, 68. Sin embargo, la transmisión compartida del programa usa el puerto 1503 en el protocolo TCP. Después de saber esto, puedes seguir Las restricciones de MSN dependen de tu entorno específico
--------------------------. ------ ----------
ISA prohíbe estrictamente el uso de servidores proxy para las herramientas de mensajería instantánea MSN/QQ [Imagen]
MSN y QQ Las buenas herramientas de comunicación están más cerca. Sin embargo, para muchas empresas que están ocupadas y no dependen mucho de las herramientas de comunicación instantánea, son un flagelo y afectarán gravemente el trabajo normal de los empleados y el funcionamiento normal de la empresa. >
En vista de la situación anterior, muchos administradores de red tomarán medidas para desactivar MSN, QQ y otras herramientas de mensajería instantánea, pero la simple desactivación no resuelve el problema. Debido a las necesidades de la oficina de red, los administradores de red no pueden desactivarlo. El protocolo HTTP, por lo que muchos empleados inconscientes usan servidores proxy HTTP para usar MSN y QQ en secreto, ¿no es imperativo bloquear la autoridad del administrador de la red? >
Principio de bloqueo
Debido a que el administrador de la red debe garantizar que los empleados puedan trabajar en línea normalmente, es imposible desactivar el protocolo HTTP. Esta es también la dificultad de prohibir las herramientas de mensajería instantánea MSN. y QQ del uso de proxy HTTP. ¿Cómo resolver este problema? Da la casualidad de que muchos firewalls de red de nivel empresarial han agregado el concepto de "protección en profundidad", como ISA Server2004, que no solo puede inspeccionar los paquetes de datos de la red en la comunicación, sino también verificarlos. la capa de aplicación de los paquetes de datos. El contenido puede filtrar y detectar datos de la capa de aplicación HTTP.
Una vez que ISA Server 2004 descubre que los datos de la capa de aplicación HTTP contienen la información de palabras clave de MSN y QQ, puede descartar el paquete de datos, deshabilitando así el uso del proxy HTTP por parte de herramientas de mensajería instantánea como MSN y QQ. . objetivo.
Solución
Para evitar que MSN y QQ utilicen el proxy HTTP, la forma más efectiva y sencilla es filtrar los paquetes de datos de mensajería instantánea en las comunicaciones de red. Esta medida de filtrado se logra mediante Esto. identificando la palabra clave de IM contenida en el paquete de datos de IM, lo que se logra fácilmente utilizando la función de "firma" proporcionada por el firewall de ISA Server 2004.
Entorno de red: una red administrada uniformemente por el servidor ISA Server 2004
Herramienta de bloqueo: firewall ISA Server 2004
Consejo: el firewall ISA proporciona un monitoreo de red muy poderoso y las funciones de administración, como la protección en profundidad y las funciones de filtrado, pueden prohibir que MSN y QQ utilicen el proxy HTTP. Por supuesto, necesita conocer las palabras clave características contenidas en los paquetes de datos MSN y QQ.
Pasos de bloqueo: obtenga las palabras clave de MSN y QQ; habilite la función de firma ISA; active la función de "bloqueo".
Master "palabras clave"
Después de completar los preparativos anteriores, puede comenzar a configurar el "bloqueo". Después de encontrar las palabras clave en los paquetes de datos MSN y QQ, configure el firewall ISA. completar el trabajo de configuración.
Debido a que el firewall ISA utiliza las palabras clave características contenidas en los paquetes MSN y QQ para filtrar los paquetes IM contenidos en los paquetes HTTP para lograr el propósito de deshabilitar el proxy HTTP, primero debe encontrar las palabras clave en MSN y QQ. paquetes de datos.
La función de "firma" proporcionada por ISA Server 2004 funciona en la capa de aplicación HTTP y utiliza las "palabras clave" en los paquetes de software de mensajería instantánea para realizar operaciones de filtrado. Por ejemplo, la palabra clave contenida en el paquete de datos enviado por MSN es "MSMSGS", y la palabra clave utilizada en el paquete de datos QQ es "tencent.com". Después de dominar esta información, es fácil utilizar la función "firma". bloquear el proxy HTTP.
Consejo: Es fácil encontrar información de "palabras clave" en los paquetes de datos MSN y QQ en Internet, pero ¿cómo pueden obtenerla otros? Esto es más complicado y es necesario utilizar la herramienta Sniffer para hacerlo. analizar estos paquetes de datos de mensajería instantánea El monitoreo y análisis, como el uso de la herramienta de análisis de protocolo "Sniffer Pro" lanzada por NAI Company, no se presentará en detalle debido a la operación problemática.
Comenzar a "bloquear"
Después de dominar las palabras clave en los paquetes de datos enviados por la herramienta de chat usando el proxy HTTP, podemos seguir las pistas y usar estas "palabras clave" para bloquearlos. "boca".
El firewall ISA utiliza la función de "firma" incorporada para prohibir que MSN y QQ utilicen el proxy HTTP, por lo que la función de "firma" debe configurarse correctamente.
En la ventana de la consola del servidor ISA Server 2004, haga clic derecho en la regla "Permitir a los usuarios acceder a redes externas" y seleccione la opción "Configurar HTTP" en el menú emergente. Luego, en el cuadro de diálogo "Configurar política HTTP para reglas", cambie a la pestaña "Firma". Ahora puede usar la función de firma para deshabilitar el proxy HTTP.
Consejo: Después de instalar el firewall de red ISA Server 2004, ningún usuario puede acceder a la red externa de forma predeterminada, por lo que debe crear una regla de acceso para permitir que los empleados de la intranet accedan a Internet. La regla es solo la regla "Permitir a los usuarios acceder a redes externas" mencionada.
1. Deshabilite MSN
Para prohibir que MSN use el proxy HTTP, simplemente filtre los paquetes de datos que contienen la palabra clave "MSMSGS".
En la pestaña "Firma", haga clic en el botón "Agregar" para que aparezca el cuadro de diálogo de configuración de firma (Figura 1), ingrese "MSN Messenger" en la columna "Nombre" y luego despliegue el "Rango de búsqueda" Seleccione la opción "Encabezado de solicitud" en el cuadro de lista, ingrese "Agente de usuario:" en la columna "Encabezado HTTP", luego ingrese "MSMSGS" en la columna "Firma" y finalmente haga clic en "Aceptar". Botón " dos veces seguidas. Complete la configuración.
...440){this.resized=true;this.style.width=440;}"gt;
2. Deshabilite QQ
y Al igual que prohibir a MSN usar proxy HTTP, prohibir a QQ usar proxy HTTP, simplemente filtre los paquetes de datos que contienen la palabra clave "tencent.com".
Haga clic en el botón "Agregar" en la pestaña "Firma". , aparece el cuadro de diálogo de configuración de firma (Figura 2), ingrese "QQ" en la columna "Nombre", luego seleccione "Solicitar URL" en el cuadro de lista desplegable "Rango de búsqueda" y luego ingrese "tencent.com" en la columna "Firma" y haga clic en el botón "Aceptar" dos veces para completar la configuración.
...440){this.resized=true; this.style.width=440;}" gt;
3. Deshabilite otro software de chat
El método para prohibir que otras herramientas de mensajería instantánea utilicen el proxy HTTP también es el mismo. Sólo necesita conocer las palabras clave características contenidas en la mensajería instantánea. paquete y luego use la función "firma" del firewall ISA. Simplemente configúrelo en consecuencia.
Finalmente, seleccione la regla "Permitir a los usuarios acceder a redes externas" en la ventana de política de firewall de ISA Server 2004 y haga clic en el botón "Aplicar" de arriba para que la configuración de firma anterior surta efecto, prohibiendo así completamente MSN. , QQ, etc. La herramienta de chat utiliza proxy HTTP.
Resumen: El principio de prohibir que MSN y QQ utilicen el proxy HTTP es muy simple. La clave es conocer las palabras clave características en los paquetes de mensajería instantánea y luego configurar la función de firma del firewall ISA para realizar el filtrado correspondiente. .
Poco conocimiento: el principio del "agente" que sirve software de chat
Aunque las diferentes herramientas de mensajería instantánea utilizan diferentes protocolos de comunicación, casi todas las herramientas de mensajería instantánea admiten la función de proxy HTTP, esto se debe a que una vez que la red El administrador bloquea la herramienta de mensajería instantánea, no podrá iniciar sesión. En este momento, puede usar el proxy HTTP para convertir los paquetes de datos de la herramienta de mensajería instantánea en paquetes de datos HTTP para romper las restricciones del firewall. la mayoría de las LAN no lo bloquearán.