VIP可享有论坛特权,免看广告,负分归零,重新加分开始!
「我要成为VIP」
| rukayu 发表于 2008-1-21 19:25 只看TA 1楼 |
|---|
|
|
[交流] 企业禁止使用QQ tm 设置要求要求只屏蔽 QQ、TM,不能影响其他网络服务. 环境 本例为本人公司网络真实接入环境,情况如下: TL-R641G 108M 无线宽带路由器(下文简称“路由器”) 网络岗 企业版 计算机一台(用于安装网络岗,DNS 服务器) 详细步骤 (1) 利用路由器封 UDP 端口 首先我们登陆路由器,安全设置--防火墙设置 (如图 1) 请按照下图设置好。 图 1  点击“IP 地址过滤”—“添加新条目” 在“局域网 IP 地址”中填入你的网段 如 192.168.1.1—192.168.1.255 “局域网端口”中保持为空 “广域网 IP 地址”也保持为空 “广域网端口”填“8000—8000” 协议选择 UDP 通过:禁止通过 状态:生效 记得点“保存” 嘿嘿……(如图 2) 图 2  按上面设置禁止 UDP 4000 端口通过(如图 3) 图 3  最后我们将看到下图的样子(如图 4) 图 4  到了这里,我们的路由器禁止UDP 4000 UDP 8000 端口了。 (2) 建立 DNS 服务器 至于如何添加 DNS 服务器我就不多说了,这里我们看看如何设置 DNS 实现泛解析 *.tencent.com 经分析,QQ 使用了多种登陆方式组合使用,确实很难封锁,现总结如下: 1、 QQ 先解析 7 个服务器的 IP,然后由 4000 端口向这 7 个 IP 的8000 端口发送 UDP 数据包,请求登陆。这 7 个服务器是:s z.tencent.com、s z2.tencent.com、s z3.tencent.com、 sz4.tencent.com、sz5.tencent.com、sz6.tencent.com、sz7.tencent.com。要注意的是, 腾讯公司完全可以使用 DNS 轮循技术,从几十个甚至上百个 IP 中随机返回一个。所以不能 简单地认为只有 7 个IP,这后面可能有一大堆 IP,而且 IP 数字可以不断增加。 2、 如果 UDP 方式都连接不上,QQ 改用TCP 方式发送登陆请求,目标端口为 80 和 443。 经分析,TCP 方式解析 4 个服务器的 IP:tcpconn.tencent.com、tcpconn2.tencent.com、 tcpconn3.tencent.com、tcpconn4.tencent.com。当这 4 个服务器无法登陆,则使用固定的 IP: 219.133.38.132;218.17.209.23;218.17.209.42;218.18.95.165;219.133.49.6;219.133.4 9.8 (如图 5) 图 5  这些固定的 IP 是写在 QQ 的安装文件中的,防止 DNS 解析不到时 QQ 无法登陆。TCP 方式的 连接非常棘手,由于需要允许企业内部用户正常访问其他网站,不可能封住 80/443 端口。 对策:从分析中可以看出,QQ 大部分登陆服务器使用***.tencent.com 这样的二级域名,只 要腾讯公司愿意,这些域名的 IP 可以随时变化,防不胜防。单纯地一个个找 IP 封住并不是 个好主意,太麻烦了。对付 DNS 轮循技术和大量 IP 最简单的办法是在自己服务器上建立 DNS 服务器,负责解析客户机的请求。当客户机查询***.tencent.com 的 IP 时,返回一个错误 的 IP。当查询其他的域名时,由 DNS 服务器去查询网上的其他 DNS 服务器,返回一个正确 的 IP。这样既屏蔽掉了某个域名又不影响其他的域名。剩下的事就简单多了,只需要对付 那几个固定的 IP,拒绝对这几个 IP 的访问就行了。 看了这么多原理,我们正式来设置 DNS 服务器 点开始—程序—管理工具-- DNS 就可以了(如图 6) (如果没有就需要自己添加了,不要问我如何添加 DNS 服务器呀,小心打你,屁屁,嘿 嘿…………嘿嘿!·) 图 6  我们点 DNS 后会出现这个画面,我们点正向搜索区域按右键--新建区域 图 7  会弹出这个画面,( 如图 8) 图 8  选标准主要区域(P) 点下一步我们输入 tencent.com 就可以了,下一步(如图 9) 图 9  出现这个画面,他会自动帮你取文件名为 tencent.com.dns 没关系,下一步 (如图 10) 图 10  图 11  图 12  到了这一步不要以为好了,这只是搞定了区域而已,还要增加主机 右击刚才我们建立的区域,选择“新建主机”(如图 13) 图 13  其中 IP 地址为 DNS 服务器的 IP 地址,必须为固定 IP,最后点“添加主机”弹出了成功创 建了主机记录www.tencent.com 确定 呵呵,DNS 服务器马上就要建立好了。 然后重复新建主机 在名称中输入“*”,这是实现泛解析的关键一步(如图 14) 图 14  最后点“添加主机”弹出了成功创建了主机记录*.tencent.com 确定 我们需要解析一下,重新按 tencent.com 按右键,点“属性” 点“名称服务器”, 点中间那个“编辑”按钮, 在服务器名输入 www.tencent.com 并按解析,I P 地址192.168.1.126 会自动跑到列表框中, 在服务器名输入*.tencent.com 并按解析,IP 地址 192.168.1.126 也会自动跑到列表框中 去,呵呵 全部确定,退回桌面,这回才是真正搞定 DNS 解析呢!!哈哈,对了,要记得重起你的爱机。 然后将地址改成你刚建立的 DNS 服务器的地址(我用的是 192.168.1.126) 图 15  开个 DOS 窗口 ,看到了吧,PING www.tencent.com 的 IP 变成了 192.168.1.126 图 16  PING 任何一个字母也变成了 192.168.1.126,这就是我们要实现的泛解析 图 17  到了这里,我们只要利用《网络岗》禁止 443 端口和几个登陆的 IP 就可以了。 219.133.38.132;218.17.209.23;218.17.209.42;218.18.95.165;219.133.49.6;219.133.4 9.8 测试 看到没有?哈哈……,连接服务器超时,请检查网络!测试通过! 如图 18 
|
| 0 |
