Red de conocimiento informático - Conocimiento informático - El problema de restringir el chat QQ en LAN

El problema de restringir el chat QQ en LAN

1. Análisis del rango de distribución de los servidores Tencent QQ:

Los servidores QQ se dividen en tres categorías:

1. más rápido, la mayor cantidad de servidores. Cuando QQ se conecte, enviará paquetes de datos UDP a estos 7 servidores, y el que tenga la velocidad de respuesta más rápida será seleccionado como servidor de conexión.

Los nombres de estos siete servidores comienzan con sz-sz7, el sufijo de dominio es tencent.com y el nombre de dominio y la IP correspondientes son

sz 61.144.238.145

sz2 61.144.238.146

sz3 202.104.129.251

sz4 202.104.129.254

sz5 61.141.194.203

sz6 202.104.129.252

sz7 202.104.129.253

Otros: 61.144.238.156

2. Conexión TCP HTTP al servidor 2, utilice el puerto HTTP 80 para conectar los dos. los nombres de los servidores comienzan con tcpconn, el sufijo del dominio es tencent.com y el nombre de dominio y la IP corresponden a

tcpconn 218.17.209.23

tcpconn3 218.17.209.23

tcpconn2 218.18.95.153

tcpconn4 218.18.95.153

Aunque hay 4 nombres, solo hay 2 servidores

3. el servidor y utiliza una conexión segura HTTP 443

IP del servidor 218.17.209.42

Como no puedo elegir iniciar sesión para el segundo y tercer tipo, solo obtuve la IP y el puerto mediante consulta inversa En cuanto al primer tipo, realicé pruebas detalladas y lo bloqueé. Sin estos 7 servidores UDP, QQ no puede iniciar sesión.

2. Restrinja el acceso de los clientes de la intranet a QQ (nota: mi red utiliza nat+ipfw como proxy transparente y firewall para lograr el máximo acceso a Internet)

1. para permitir que el kernel admita la función de firewall ipfw y volver a editar el archivo del kernel

opciones IPFIREWALL //Notificar al kernel del sistema operativo para verificar cada paquete IP y compararlos con el conjunto de reglas

.

opciones IPFIREWALL_FORWARD

opciones IPDIVERT //Habilita el socket IP de desvío utilizado por ipfw divert. Esta opción debe usarse junto con natd.

opciones IPFIREWALL_VERBOSE //Enviar un paquete de información de registro al programa de registro del sistema.

opciones IPFIREWALL_VERBOSE_LIMIT=100 //Limita el número de veces que se puede registrar una máquina.

opciones IPSTEALTH //Habilitar código que admita el reenvío secreto. Esta opción es útil para hacer que el firewall sea invisible para traceroute y herramientas similares.

opciones IPFIREWALL_DEFAULT_TO_ACCEPT

opciones ACCEPT_FILTER_DATA

opciones ACCEPT_FILTER_HTTP //Aceptar conexiones estáticas en el filtro

opciones ICMP_BANDLIM //ICMP_BANDLIM según el ancho de banda Limite la generación de errores icmp. Normalmente necesitamos esta opción, ayuda a proteger su sistema de ataques D.O.S.

2. Después de editar el kernel, agregue el siguiente contenido al archivo /etc/rc.conf para que el firewall pueda iniciarse automáticamente después de que se reinicie el sistema

gateway_enable="YES" //Iniciar puerta de enlace

##########IP-firewall################

firewall_enable=" YES" //Activar firewall firewall

firewall_type="/etc/ipfw.conf" //Script personalizado de firewall

firewall_quiet="NO" //Si se muestra información de la regla al activar el guión. Ahora "NO". Si el script de su firewall ha sido finalizado, puede configurarlo en "SÍ".

firewall_logging_enable="YES" //Habilitar la grabación del registro del firewall. "

##########NATD######################

natd_interface = "rl0" //¿En qué tarjeta de red está habilitado el servicio NATD?

natd_enable="YES" //Activar el servicio NATD

natd_flags="-config /etc/natd. conf" //archivo de configuración de parámetros del servicio NATD.

3. Una vez completada la configuración, editamos el archivo /etc/syslog.conf y agregamos el siguiente código:

!ipfw

*.* /var/log/ipfw.log

4. Cree un archivo ipfw.log en /var/log/, siempre que el contenido esté vacío, luego guárdelo. y salir (esto es). Un archivo de registro que registra el firewall)

5. También cree un archivo natd.conf en /etc. El contenido también está vacío.

(Este es un archivo de configuración NAT, puede realizar algunas configuraciones NAT)

6 Cree un nuevo archivo ipfw.conf en /etc y escriba el siguiente contenido en el archivo:

agregar 00400 desviar ip natd de cualquiera a cualquiera a través de rl0

agregar 00001 denegar ip de registro de cualquiera a cualquier ipopt rr

agregar 00002 denegar ip de registro de cualquiera a cualquier ipopt ts

agregar 00003 denegar ip de registro de cualquiera a cualquier ipopt ssrr

agregar 00004 denegar ip de registro de cualquiera a cualquier ipopt lsrr

agregar 00005 denegar tcp de cualquiera a cualquiera en tcpflags syn,fin

#####TCP#####

agregar 10000 denegar tcp de cualquiera a cualquier 4000

agregar 10001 denegar tcp desde cualquiera a cualquier 8000

agregar 10002 denegar udp de cualquiera a cualquier 4000

agregar 10003 denegar udp de cualquiera a cualquier 8000

agregar 10004 denegar todo de cualquiera a 61.144 .238.145

agregar 10005 denegar todo desde 61.144.238.145 a cualquiera

agregar 10006 denegar todo desde cualquiera a 61.144.238.146

agregar 10007 denegar todo desde 61.144 238.146 a cualquiera

agregar 10008 denegar todo desde cualquiera a 202.104.129.251

agregar 10009 denegar todo desde 202.104.129.251 a cualquiera

agregar 10010 denegar todo desde . cualquiera a 202.104.129.254

agregar 10011 denegar todo desde 202.104.129.254 a cualquiera

agregar 10012 denegar todo desde cualquiera a 61.141.194.203

agregar 10013 denegar todo de 61.141.194.203 a cualquiera

agregar 10014 denegar todo de cualquiera a 202.104.129.252

agregar 10015 denegar todo de 202.104.129.252 a cualquiera

agregar 10016 denegar todo desde cualquiera a 202.104.129.253

agregar 10017 denegar todo desde 202.104.129.253 a cualquiera

agregar 10018 denegar todo desde cualquiera a 218.18.95.153

agregar 10019 negar todo desde 218.18.95.153 a cualquiera

añadir 10020 negar todo desde

cualquiera a 218.17.209.23

agregar 10021 denegar todo desde 218.17.209.23 a cualquiera

agregar 10022 denegar todo desde cualquiera a 61.144.238.156

agregar 10023 denegar todo desde 61.144.238.156 a cualquiera

agregar 10024 denegar todo desde cualquiera a 218.17.209.42

agregar 10025 denegar todo desde 218.17.209.42 a cualquiera

### ##ICMP#####

agregar 30000 permitir icmp de cualquiera a cualquier tipo de icmp 3

agregar 30001 permitir icmp de cualquiera a cualquier tipo de icmp 4

agregar 30002 permitir icmp de cualquiera a cualquier icmptypes 8 fuera

agregar 30003 permitir icmp de cualquiera a cualquier icmptypes 0 en

agregar 30004 permitir icmp de cualquiera a cualquier icmptypes 11 en

#####LAN#####

agregar 40001 permitir todo de cualquiera a cualquiera

agregar 65000 denegar todo de cualquiera a cualquiera

3. Bien, ahora que la configuración está completa, reinicie el sistema para que el firewall surta efecto. Ahora puede encontrar una máquina en la intranet y usar QQ para ver si puede pasar.

上篇: ¿Cómo deben estudiar los estudiantes? 下篇: Perfil de Nico

Artículos populares